FedRAMP High (Azure Kamu) Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları
Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının FedRAMP High (Azure Kamu) içindeki uyumluluk etki alanları ve denetimlerle nasıl eşlendiği ayrıntılı olarak anlatilmektedir. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . FedRAMP High. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.
Aşağıdaki eşlemeler FedRAMP High denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından FedRAMP Yüksek Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.
Önemli
Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.
Erişim Denetimi
Hesap Yönetimi
Kimlik: FedRAMP High AC-2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Otomatik Sistem Hesabı Yönetimi
Kimlik: FedRAMP High AC-2 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Rol Tabanlı Düzenler
Kimlik: FedRAMP High AC-2 (7) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Hesap İzleme / Atipik Kullanım
Kimlik: FedRAMP High AC-2 (12) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
Erişim Zorlama
Kimlik: FedRAMP High AC-3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Parolasız hesapları olan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 1.4.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Bilgi Akışı Zorlaması
Kimlik: FedRAMP High AC-4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 1.4.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Görev Ayrımı
Kimlik: FedRAMP High AC-5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
En Az Ayrıcalık
Kimlik: FedRAMP High AC-6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
Kullanıcı Ayrıcalıklarını Gözden Geçirme
Kimlik: FedRAMP High AC-6 (7) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
Uzaktan Erişim
Kimlik: FedRAMP High AC-17 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 1.4.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
Otomatik İzleme / Denetim
Kimlik: FedRAMP High AC-17 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 1.4.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
Denetim ve Sorumluluk
Gözden geçirme, analiz ve raporlamayı denetleme
Kimlik: FedRAMP Yüksek AU-6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Merkezi gözden geçirme ve analiz
Kimlik: FedRAMP Yüksek AU-6 (4) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Tümleştirme / Tarama ve İzleme Özellikleri
Kimlik: FedRAMP Yüksek AU-6 (5) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kayıt Saklamayı Denetle
Kimlik: FedRAMP Yüksek AU-11 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Denetim Oluşturma
Kimlik: FedRAMP Yüksek AU-12 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Sistem Genelinde / Zaman Bağıntılı Denetim İzi
Kimlik: FedRAMP High AU-12 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Yapılandırma Yönetimi
Yapılandırma Ayarları
Kimlik: FedRAMP High CM-6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| İşlev uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 10.1.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 10.1.1 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.1 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 10.1.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 1.5.0 |
| Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
En Az İşlevsellik
Kimlik: FedRAMP High CM-7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Program Yürütmesini Engelle
Kimlik: FedRAMP High CM-7 (2) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Yetkili Yazılım / Beyaz Listeye Ekleme
Kimlik: FedRAMP High CM-7 (5) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Yazılım Kullanımı Kısıtlamaları
Kimlik: FedRAMP High CM-10 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kullanıcı Tarafından Yüklenen Yazılım
Kimlik: FedRAMP High CM-11 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Acil Durum Planlaması
Alternatif Depolama Sitesi
Kimlik: FedRAMP High CP-6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Depolama Hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir | Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir | Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanı denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Birincil Siteden Ayrım
Kimlik: FedRAMP High CP-6 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Depolama Hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir | Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir | Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanı denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Alternatif İşleme Sitesi
Kimlik: FedRAMP High CP-7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme | Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleme. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Bilgi Sistemi Yedekleme
Kimlik: FedRAMP High CP-9 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
Tanımlama ve kimlik doğrulaması
Tanımlama ve kimlik doğrulaması (kuruluş kullanıcıları)
Kimlik: FedRAMP Yüksek IA-2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Ayrıcalıklı Hesaplara Ağ Erişimi
Kimlik: FedRAMP Yüksek IA-2 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Ayrıcalıklı Olmayan Hesaplara Ağ Erişimi
Kimlik: FedRAMP Yüksek IA-2 (2) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Tanımlayıcı Yönetimi
Kimlik: FedRAMP Yüksek IA-4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Kimlik Doğrulayıcı Yönetimi
Kimlik: FedRAMP Yüksek IA-5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 1.4.0 |
| Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Parola Tabanlı Kimlik Doğrulaması
Kimlik: FedRAMP Yüksek IA-5 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 1.3.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 1.4.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Parola yaşı üst sınırı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola yaşı üst sınırı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En fazla parola yaşı için varsayılan değer 70 gündür | AuditIfNotExists, Devre Dışı | 1.1.0 |
| En düşük parola yaşı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola yaşı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En düşük parola yaşı için varsayılan değer 1 gündür | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 1.0.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Olay Yanıtlama
Olay İşleme
Kimlik: FedRAMP Yüksek IR-4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Olay İzleme
Kimlik: FedRAMP Yüksek IR-5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Risk Değerlendirmesi
Güvenlik Açığı Tarama
Kimlik: FedRAMP High RA-5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcı güvenliği yapılandırmalarındaki güvenlik açıkları düzeltilmelidir | Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasındaki güvenlik açıklarını denetleyin ve Azure Güvenlik Merkezi öneriler olarak görüntüleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sistem ve İletişim Koruması
Güvenlik İşlevi Yalıtımı
Kimlik: FedRAMP High SC-3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 1.1.1 |
Hizmet Reddi Koruması
Kimlik: FedRAMP High SC-5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Sınır Koruması
Kimlik: FedRAMP High SC-7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 1.4.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Erişim Noktaları
Kimlik: FedRAMP High SC-7 (3) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.0 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 1.4.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
İletim Gizliliği ve Bütünlüğü
Kimlik: FedRAMP High SC-8 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır | Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarımda şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 3.0.1 |
Şifreleme veya alternatif fiziksel koruma
Kimlik: FedRAMP High SC-8 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır | Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarımda şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 3.0.1 |
Şifreleme anahtarı oluşturma ve yönetme
Kimlik: FedRAMP High SC-12 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/AB-CmkEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: IoT Hub cihaz sağlama hizmeti verileri müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmelidir | IoT Hub cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Bekleyen veriler hizmet tarafından yönetilen anahtarlarla otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/dps/CMK. . | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Azure Otomasyonu hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Otomasyonu Hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/automation-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Batch hesabı verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/Batch-CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Data Box işleri, cihaz kilidini açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Data Box için cihaz kilidi açma parolasının şifrelenmesini denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmeti tarafından cihaz kilidi açma parolasına erişimin yönetilmesine de yardımcı olur. Cihazın kendisinde bulunan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten şifrelenir ve cihaz kilidi açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bekleyen Azure Veri Gezgini şifrelemesi müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Veri Gezgini kümenizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimleri olan müşteriler için geçerlidir ve anahtarları yönetmek için bir Key Vault gerektirir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Data Factory'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/adf-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure HDInsight kümelerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/hdi.cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için konakta şifreleme kullanmalıdır | Konakta şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve Depolama hizmetine akışlar şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/azureml-workspaces-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.3 |
| Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stream Analytics işleri verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Stream Analytics işlerinizin meta verilerini ve özel veri varlıklarını depolama hesabınızda güvenli bir şekilde depolamak istediğinizde müşteri tarafından yönetilen anahtarları kullanın. Bu, Stream Analytics verilerinizin şifrelenme şekli üzerinde tam denetim sağlar. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bot Hizmeti müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Bot Hizmeti, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini karşılamak için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Azure Bot Hizmeti şifrelemesi hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Bilişsel Hizmetler hesapları, müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmelidir | Yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. adresinden müşteri tarafından yönetilen anahtarlar https://go.microsoft.com/fwlink/?linkid=2121321hakkında daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Event Hubs, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak tanır. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| Logic Apps Tümleştirme Hizmeti Ortamı, müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak Logic Apps verilerinin geri kalanında şifrelemeyi yönetmek için Tümleştirme Hizmeti Ortamı'na dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla çift şifrelenmelidir | Belirli bir şifreleme algoritması, uygulama veya anahtarın tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler, platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Çift şifreleme kullanmak için disk şifreleme kümeleri gereklidir. https://aka.ms/disks-doubleEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Yönetilen disklerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen platform tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir | Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Service Bus, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Service Bus'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanızı, döndürmenizi, devre dışı bırakmanızı ve iptal etmenizi sağlar. Service Bus'ın yalnızca premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesabı şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
Bekleyen bilgilerin korunması
Kimlik: FedRAMP High SC-28 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service Ortamı iç şifreleme etkinleştirilmelidir | InternalEncryption değeri true olarak ayarlandığında ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği şifrelenir. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . | Denetim, Devre Dışı | 1.0.1 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir | Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır | Güvenli veri şifrelemesinin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için Azure İzleyici ayrılmış kümesini kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stack Edge cihazları çift şifreleme kullanmalıdır | Cihazın bekleyen verilerinin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir | Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesaplarında altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Şifreleme Koruması
Kimlik: FedRAMP High SC-28 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service Ortamı iç şifreleme etkinleştirilmelidir | InternalEncryption değeri true olarak ayarlandığında ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği şifrelenir. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . | Denetim, Devre Dışı | 1.0.1 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir | Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır | Güvenli veri şifrelemesinin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için Azure İzleyici ayrılmış kümesini kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stack Edge cihazları çift şifreleme kullanmalıdır | Cihazın bekleyen verilerinin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir | Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesaplarında altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sistem ve Bilgi Bütünlüğü
Kusur Düzeltme
Kimlik: FedRAMP High SI-2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir | Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kötü Amaçlı Kod Koruması
Kimlik: FedRAMP High SI-3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 1.1.1 |
Merkezi Yönetim
Kimlik: FedRAMP High SI-3 (1) Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 1.1.1 |
Bilgi Sistemi İzleme
Kimlik: FedRAMP High SI-4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 4.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Bellek Koruması
Kimlik: FedRAMP High SI-16 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 1.1.1 |
Sonraki adımlar
Azure İlkesi hakkında ek makaleler:
- Mevzuat Uyumluluğuna genel bakış.
- Girişim tanımı yapısına bakın.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin