RMIT Malezya Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları
Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının RMIT Malaysia'daki uyumluluk etki alanları ve denetimlerle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . RMIT Malaysia. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.
Aşağıdaki eşlemeler RMIT Malezya denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından RMIT Malezya Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.
Önemli
Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.
Şifreleme
Şifreleme - 10.16
Kimlik: RMiT 10.16 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Key Vault Yönetilen HSM'de temizleme koruması etkinleştirilmelidir | Azure Key Vault Yönetilen HSM'sinin kötü amaçlı silinmesi kalıcı veri kaybına yol açabilir. Kuruluşunuzdaki kötü amaçlı bir insider, Azure Key Vault Yönetilen HSM'lerini silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen Azure Key Vault Yönetilen HSM için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse Azure Key Vault Yönetilen HSM'nizi temizleyemez. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirerek verilerin güvenli olduğundan daha yüksek düzeyde emin olun. Altyapı şifrelemesi etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | verilerin güvenli olduğundan daha yüksek düzeyde güvenceye sahip olmak için PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirin. Altyapı şifreleme etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Depolama hesaplarında altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
Şifreleme - 10.19
Kimlik: RMiT 10.19 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Key Vault bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Key Vault'ları denetler. | Denetim, Devre Dışı | 1.0.0 |
| PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
Şifreleme - 10.20
Kimlik: RMiT 10.20 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. | Denetim, Devre Dışı | 3.1.0 kullanım dışı |
| App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Veri Merkezi İşlemleri
Veri Merkezi İşlemleri - 10.27
Kimlik: RMiT 10.27 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Dağıt - Log Analytics uzantısını Windows sanal makine ölçek kümelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve uzantı yüklü değilse Windows sanal makine ölçek kümeleri için Log Analytics uzantısını dağıtın. UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı güncelleştirerek kümedeki tüm sanal makineye uygulamanız gerekir. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Veri Merkezi İşlemleri - 10.30
Kimlik: RMiT 10.30 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir | Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
Ağ Dayanıklılığı
Ağ Dayanıklılığı - 10.33
Kimlik: RMiT 10.33 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm akış günlüğü kaynakları etkin durumda olmalıdır | Akış günlüğü durumunun etkinleştirilip etkinleştirilmediğini doğrulamak için akış günlüğü kaynaklarını denetleyin. Akış günlüklerinin etkinleştirilmesi, IP trafiği akışı hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Container Instance kapsayıcı grubu sanal ağa dağıtılmalıdır | Azure Sanal Ağ s ile kapsayıcılarınız arasındaki iletişimin güvenliğini sağlayın. Bir sanal ağ belirttiğinizde, sanal ağ içindeki kaynaklar birbirleriyle güvenli ve özel olarak iletişim kurabilir. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Azure VPN ağ geçitleri 'temel' SKU kullanmamalıdır | Bu ilke, VPN ağ geçitlerinin 'temel' SKU kullanmamasını sağlar. | Denetim, Devre Dışı | 1.0.0 |
| genel ağ erişimini devre dışı bırakmak için Uygulama Yapılandırması yapılandırma | Uygulama Yapılandırması için genel ağ erişimini devre dışı bırakın; böylece genel İnternet üzerinden erişilemez. Bu yapılandırma, bunların veri sızıntısı risklerine karşı korunmasına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SQL Server'ı genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Server'a yalnızca özel bir uç noktadan erişilebileceği şekilde genel bağlantıyı kapatır. Bu yapılandırma, Azure SQL Server altındaki tüm veritabanları için genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SQL Server'ı özel uç nokta bağlantılarını etkinleştirecek şekilde yapılandırma | Özel uç nokta bağlantısı, sanal ağın içindeki özel IP adresi aracılığıyla Azure SQL Veritabanı özel bağlantı sağlar. Bu yapılandırma, güvenlik duruşunuzu geliştirir ve Azure ağ araçlarını ve senaryolarını destekler. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Kapsayıcı kayıt defterlerini yapılandırma | Container Registry kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. ve https://aka.ms/acr/private-linkadresinden https://aka.ms/acr/portal/public-network daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Yönetilen diskleri genel ağ erişimini devre dışı bırakmak için yapılandırma | Yönetilen disk kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Değiştir, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Cosmos DB bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış cosmos DB'leri denetler. | Denetim, Devre Dışı | 1.0.0 |
| Olay Hub'ı bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm Olay Hub'larını denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için ağ güvenlik gruplarını denetleyin. Akış günlüklerinin etkinleştirilmesi, ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.1.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Yönetilen diskler genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, yönetilen bir diskin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak yönetilen disklerin açığa çıkmayı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Denetim, Devre Dışı | 2.0.0 |
| Değiştir - genel ağ erişimini devre dışı bırakmak için Azure Dosya Eşitleme yapılandırma | Azure Dosya Eşitleme İnternet'e erişilebilen genel uç noktası, kuruluş ilkeniz tarafından devre dışı bırakılır. Depolama Eşitleme Hizmeti'ne özel uç noktaları üzerinden erişmeye devam edebilirsiniz. | Değiştir, Devre Dışı | 1.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Kapsayıcı kayıt defterleri için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişiminin devre dışı bırakılması, kapsayıcı kayıt defterlerinin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktaların oluşturulması kapsayıcı kayıt defteri kaynaklarının açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makineler onaylı bir sanal ağa bağlanmalıdır | Bu ilke, onaylanmamış bir sanal ağa bağlı tüm sanal makineleri denetler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal ağlar belirtilen sanal ağ geçidini kullanmalıdır | Bu ilke, varsayılan yol belirtilen sanal ağ geçidine işaret etmiyorsa tüm sanal ağı denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Ağ Dayanıklılığı - 10.35
Kimlik: RMiT 10.35 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Dağıt - Log Analytics uzantısını Windows sanal makine ölçek kümelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve uzantı yüklü değilse Windows sanal makine ölçek kümeleri için Log Analytics uzantısını dağıtın. UpgradePolicy ölçek kümeniz El ile olarak ayarlandıysa, uzantıyı güncelleştirerek kümedeki tüm sanal makineye uygulamanız gerekir. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Ağ Dayanıklılığı - 10.38
Kimlik: RMiT 10.38 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Özel çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin özel bir çalışma alanı kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Varsayılan çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin ASC varsayılan çalışma alanını kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Ağ Dayanıklılığı - 10.39
Kimlik: RMiT 10.39 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm Azure sanal ağ geçidi bağlantılarına özel bir IPsec/IKE ilkesi uygulanmalıdır | Bu ilke, tüm Azure sanal ağ geçidi bağlantılarının özel bir İnternet Protokolü Güvenliği (Ipsec)/İnternet Anahtar Değişimi (IKE) ilkesi kullanmasını sağlar. Desteklenen algoritmalar ve anahtar güçlü yönleri - https://aka.ms/AA62kb0 | Denetim, Devre Dışı | 1.0.0 |
| SQL Server bir sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış tüm SQL Server'ları denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama Hesapları sanal ağ hizmet uç noktası kullanmalıdır | Bu ilke, sanal ağ hizmet uç noktasını kullanacak şekilde yapılandırılmamış depolama hesaplarını denetler. | Denetim, Devre Dışı | 1.0.0 |
Cloud Services
Cloud Services - 10.49
Kimlik: RMiT 10.49 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Kaynak konumunu denetleme, kaynak grubu konumuyla eşleşir | Kaynak konumunun kaynak grubu konumuyla eşleşerek eşleşmediğini denetleme | denetim | 2.0.0 |
| PostgreSQL veritabanı sunucuları için bağlantı azaltma etkinleştirilmelidir | Bu ilke, Ortamınızdaki PostgreSQL veritabanlarını Bağlantı azaltma etkinleştirilmeden denetlemenize yardımcı olur. Bu ayar, çok fazla geçersiz parola oturum açma hatası için IP başına geçici bağlantı azaltmayı etkinleştirir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL Veritabanı GRS yedekleme yedekliliğini kullanmaktan kaçınmalı | Veri yerleşimi kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa veritabanları yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. | Reddet, Devre Dışı | 2.0.0 |
| SQL Yönetilen Örneği, GRS yedekleme yedekliliğini kullanmaktan kaçınmalıdır | Veri yerleşim kuralları verilerin belirli bir bölgede kalmasını gerektiriyorsa, Yönetilen Örnekler yedeklemeler için varsayılan coğrafi olarak yedekli depolamayı kullanmaktan kaçınmalıdır. Not: T-SQL kullanarak veritabanı oluşturulurken Azure İlkesi uygulanmaz. Açıkça belirtilmezse, coğrafi olarak yedekli yedekleme depolaması olan veritabanı T-SQL aracılığıyla oluşturulur. | Reddet, Devre Dışı | 2.0.0 |
Cloud Services - 10.51
Kimlik: RMiT 10.51 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme | Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleme. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Depolama Hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir | Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi yedekliliği kullanma | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı için uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmelidir | Bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş tüm Azure SQL Veritabanı denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Cloud Services - 10.53
Kimlik: RMiT 10.53 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uygulama Yapılandırması müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlar, şifreleme anahtarlarınızı yönetmenize olanak tanıyarak gelişmiş veri koruması sağlar. Bu genellikle uyumluluk gereksinimlerini karşılamak için gereklidir. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Event Hubs, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak tanır. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Yönetilen diskler, müşteri tarafından yönetilen anahtar şifrelemesi için belirli bir disk şifreleme kümeleri kümesi kullanmalıdır | Yönetilen disklerle kullanılacak belirli bir disk şifreleme kümesi kümesinin gerekli olması, bekleyen şifreleme için kullanılan anahtarlar üzerinde denetim sahibi olmanıza neden olur. İzin verilen şifrelenmiş kümeleri seçebilirsiniz ve diske eklendiğinde diğer tüm kümeler reddedilir. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Yönetilen disklerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen platform tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir | Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Etkinlik günlüklerine sahip kapsayıcıyı içeren depolama hesabı BYOK ile şifrelenmelidir | Bu ilke, etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabının KAG ile şifrelenip şifrelenmediğini denetler. İlke yalnızca depolama hesabı tasarım gereği etkinlik günlükleri ile aynı abonelikte yer alırsa çalışır. Bekleyen Azure Depolama şifrelemesi hakkında daha fazla bilgiyi burada https://aka.ms/azurestoragebyokbulabilirsiniz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
Erişim Denetimi
Erişim Denetimi - 10.54
Kimlik: RMiT 10.54 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın etkilenmesini sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| App Service uygulamalarında kimlik doğrulaması etkinleştirilmelidir | Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin web uygulamasına ulaşmasını engelleyebilen veya belirteçleri olan kişilerin kimliğini web uygulamasına ulaşmadan önce doğrulayan bir özelliktir. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında kimlik doğrulaması etkinleştirilmelidir | Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin İşlev uygulamasına ulaşmasını engelleyebilen veya İşlev uygulamasına ulaşmadan önce belirteçleri olan kişilerin kimliğini doğrulayan bir özelliktir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Erişim Denetimi - 10.55
Kimlik: RMiT 10.55 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Olay Hub'ı örneğindeki yetkilendirme kuralları tanımlanmalıdır | En az ayrıcalıklı erişim vermek için Event Hub varlıklarında yetkilendirme kurallarının varlığını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.1 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.1.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.1.0 |
| Depolama hesapları güvenilen Microsoft hizmetleri erişime izin vermelidir | Depolama hesaplarıyla etkileşim kuran bazı Microsoft hizmetleri, ağ kuralları aracılığıyla erişim verilmeyen ağlardan çalışır. Bu hizmet türünün amaçlandığı gibi çalışmasına yardımcı olmak için, güvenilen Microsoft hizmetleri kümesinin ağ kurallarını atlamasına izin verin. Bu hizmetler daha sonra depolama hesabına erişmek için güçlü kimlik doğrulaması kullanır. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Erişim Denetimi - 10.58
Kimlik: RMiT 10.58 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Erişim Denetimi - 10.60
Kimlik: RMiT 10.60 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
Erişim Denetimi - 10.61
Kimlik: RMiT 10.61 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Erişim Denetimi - 10.62
Kimlik: RMiT 10.62 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Kubernetes Services üzerinde Azure Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Azure Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Service Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.3 |
Yama ve Kullanım Süresi Sonu Sistem Yönetimi
Yama ve Kullanım Süresi Sonu Sistem Yönetimi - 10.63
Kimlik: RMiT 10.63 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır | Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir | Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Yama ve Kullanım Süresi Sonu Sistem Yönetimi - 10.65
Kimlik: RMiT 10.65 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Dijital Hizmetlerin Güvenliği
Dijital Hizmetlerin Güvenliği - 10.66
Kimlik: RMiT 10.66 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Etkinlik günlüğü en az bir yıl saklanmalıdır | Bu ilke, saklama süresi 365 gün veya sonsuza kadar ayarlanmadıysa etkinlik günlüğünü denetler (bekletme günleri 0 olarak ayarlanır). | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Seçili kaynak türleri için tanılama ayarını denetleme | Seçili kaynak türleri için tanılama ayarını denetleyin. Yalnızca tanılama ayarlarını destekleyen kaynak türlerini seçtiğinizden emin olun. | AuditIfNotExists | 2.0.1 |
| Azure İzleyici günlük profili 'yazma,' 'sil' ve 'eylem' kategorileri için günlükleri toplamalıdır | Bu ilke, günlük profilinin 'yazma,' 'silme' ve 'eylem' kategorileri için günlükleri toplamasını sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Application Insights için Azure İzleyici Günlükleri bir Log Analytics çalışma alanına bağlanmalıdır | Application Insights bileşenini günlük şifrelemesi için log analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'deki verilerinize erişim üzerinde daha fazla denetim sağlamak için gereklidir. Bileşeninizi müşteri tarafından yönetilen bir anahtarla etkinleştirilmiş bir Log Analytics çalışma alanına bağlamak, Application Insights günlüklerinizin bu uyumluluk gereksinimini karşıladığından emin olur, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure İzleyici tüm bölgelerden etkinlik günlüklerini toplamalıdır | Bu ilke, genel de dahil olmak üzere tüm Azure desteği bölgelerin etkinliklerini dışarı aktarmayan Azure İzleyici günlük profilini denetler. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Azure İzleyici çözümü 'Güvenlik ve Denetim' dağıtılmalıdır | Bu ilke, Güvenlik ve Denetim'in dağıtılmasını sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure aboneliklerinin Etkinlik Günlüğü için bir günlük profili olmalıdır | Bu ilke, etkinlik günlüklerini dışarı aktarmak için bir günlük profilinin etkinleştirilip etkinleştirilmemesini sağlar. Günlükleri depolama hesabına veya olay hub'ına dışarı aktarmak için oluşturulmuş bir günlük profili olup olmadığını denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Dağıtma - Log Analytics çalışma alanına SQL Veritabanı tanılama ayarlarını yapılandırma | Bu tanılama ayarları eksik SQL Veritabanı oluşturulduğunda veya güncelleştirildiğinde kaynak günlüklerini Log Analytics çalışma alanına aktarmak için SQL Veritabanı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 4.0.0 |
| Dağıtma - Log Analytics uzantısını Windows sanal makinelerinde etkinleştirilecek şekilde yapılandırma | Sanal makine görüntüsü tanımlanan listedeyse ve uzantı yüklü değilse Windows sanal makineleri için Log Analytics uzantısını dağıtın. Kullanımdan kaldırma bildirimi: Log Analytics aracısı kullanımdan kaldırma yolundadır ve 31 Ağustos 2024'den sonra desteklenmez. Bu tarihten önce yeni 'Azure İzleyici aracısı'na geçmeniz gerekir. | DeployIfNotExists, Devre Dışı | 3.1.0 |
| Batch Hesabı için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Batch Hesabı oluşturulduğunda veya güncelleştirildiğinde Batch Hesabının bölgesel bir Olay Hub'ına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Batch Hesabı için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Batch Hesabı oluşturulduğunda veya güncelleştirildiğinde Batch Hesabının bölgesel log analytics çalışma alanına akışla aktarılacağı tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
| Data Lake Analytics için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Analytics oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak için Data Lake Analytics tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Data Lake Analytics için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Analytics oluşturulduğunda veya güncelleştirildiğinde Data Lake Analytics'in bölgesel bir Log Analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Data Lake Storage 1. Nesil için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Storage 1. Nesil oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Data Lake Storage 1. Nesil tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Data Lake Storage 1. Nesil için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Data Lake Storage 1. Nesil oluşturulduğunda veya güncelleştirildiğinde bölgesel log analytics çalışma alanına akış yapmak için Data Lake Storage 1. Nesil tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ı için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Olay Hub'ı oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Olay Hub'ı için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Olay Hub'ı için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Olay Hub'ı oluşturulduğunda veya güncelleştirildiğinde Bölgesel Log Analytics çalışma alanına akış yapmak üzere Olay Hub'ı için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Key Vault için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Key Vault oluşturulduğunda veya güncelleştirildiğinde Key Vault'un bölgesel log analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 3.0.0 |
| Logic Apps için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Logic Apps oluşturulduğunda veya güncelleştirildiğinde Logic Apps'in bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Logic Apps için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Logic Apps oluşturulduğunda veya güncelleştirildiğinde Logic Apps'in bölgesel log analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Arama Hizmetleri için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Arama Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Arama Hizmetleri'nin bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Arama Hizmetleri için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Arama Hizmeti oluşturulduğunda veya güncelleştirildiğinde, Bölgesel Log Analytics çalışma alanına akış yapmak üzere Arama Hizmetleri için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Service Bus için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Service Bus oluşturulduğunda veya güncelleştirildiğinde Service Bus'ın bölgesel bir Olay Hub'ına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Service Bus için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Service Bus oluşturulduğunda veya güncelleştirildiğinde Service Bus'ın bölgesel bir Log Analytics çalışma alanına akışla aktarması için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.1.0 |
| Stream Analytics için Tanılama Ayarlarını Olay Hub'ına Dağıtma | Bu tanılama ayarları eksik olan herhangi bir Stream Analytics oluşturulduğunda veya güncelleştirildiğinde bölgesel bir Olay Hub'ına akış yapmak üzere Stream Analytics için tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 2.0.0 |
| Stream Analytics için Tanılama Ayarlarını Log Analytics çalışma alanına dağıtma | Bu tanılama ayarları eksik olan herhangi bir Stream Analytics oluşturulduğunda veya güncelleştirildiğinde Bölgesel Log Analytics çalışma alanına akış yapmak üzere Stream Analytics tanılama ayarlarını dağıtır. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics uzantısı, listelenen sanal makine görüntüleri için sanal makine ölçek kümelerinde etkinleştirilmelidir | Sanal makine görüntüsü tanımlanan listede değilse ve uzantı yüklü değilse, sanal makine ölçek kümelerini uyumsuz olarak bildirir. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Azure Key Vault Yönetilen HSM'deki kaynak günlükleri etkinleştirilmelidir | Bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmak için Yönetilen HSM'lerde kaynak günlüklerini etkinleştirerek denetim yapmak isteyebilirsiniz. Lütfen buradaki yönergeleri izleyin: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Log Analytics uzantısı Sanal Makine Ölçek Kümeleri | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Dijital Hizmetlerin Güvenliği - 10.68
Kimlik: RMiT 10.68 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
Dağıtılmış Hizmet Reddi (DDoS)
Dağıtılmış Hizmet Reddi (DDoS) - 11.13
Kimlik: RMiT 11.13 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
Veri Kaybı Önleme (DLP)
Veri Kaybı Önleme (DLP) - 11.15
Kimlik: RMiT 11.15 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Key Vault Yönetilen HSM'de temizleme koruması etkinleştirilmelidir | Azure Key Vault Yönetilen HSM'sinin kötü amaçlı silinmesi kalıcı veri kaybına yol açabilir. Kuruluşunuzdaki kötü amaçlı bir insider, Azure Key Vault Yönetilen HSM'lerini silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen Azure Key Vault Yönetilen HSM için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse Azure Key Vault Yönetilen HSM'nizi temizleyemez. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| genel ağ erişimini devre dışı bırakmak için Uygulama Yapılandırması yapılandırma | Uygulama Yapılandırması için genel ağ erişimini devre dışı bırakın; böylece genel İnternet üzerinden erişilemez. Bu yapılandırma, bunların veri sızıntısı risklerine karşı korunmasına yardımcı olur. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın görünür kalmasını sınırlayabilirsiniz. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | Değiştir, Devre Dışı | 1.0.0 |
| Azure SQL Server'ı genel ağ erişimini devre dışı bırakmak için yapılandırma | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Server'a yalnızca özel bir uç noktadan erişilebileceği şekilde genel bağlantıyı kapatır. Bu yapılandırma, Azure SQL Server altındaki tüm veritabanları için genel ağ erişimini devre dışı bırakır. | Değiştir, Devre Dışı | 1.0.0 |
| Genel ağ erişimini devre dışı bırakmak için Kapsayıcı kayıt defterlerini yapılandırma | Container Registry kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. ve https://aka.ms/acr/private-linkadresinden https://aka.ms/acr/portal/public-network daha fazla bilgi edinin. | Değiştir, Devre Dışı | 1.0.0 |
| Yönetilen diskleri genel ağ erişimini devre dışı bırakmak için yapılandırma | Yönetilen disk kaynağınıza genel İnternet üzerinden erişilmemesi için genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı risklerini azaltabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Değiştir, Devre Dışı | 2.0.0 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| Yönetilen diskler genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, yönetilen bir diskin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak yönetilen disklerin açığa çıkmayı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc. | Denetim, Devre Dışı | 2.0.0 |
| Yönetilen diskler, müşteri tarafından yönetilen anahtar şifrelemesi için belirli bir disk şifreleme kümeleri kümesi kullanmalıdır | Yönetilen disklerle kullanılacak belirli bir disk şifreleme kümesi kümesinin gerekli olması, bekleyen şifreleme için kullanılan anahtarlar üzerinde denetim sahibi olmanıza neden olur. İzin verilen şifrelenmiş kümeleri seçebilirsiniz ve diske eklendiğinde diğer tüm kümeler reddedilir. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Değiştir - genel ağ erişimini devre dışı bırakmak için Azure Dosya Eşitleme yapılandırma | Azure Dosya Eşitleme İnternet'e erişilebilen genel uç noktası, kuruluş ilkeniz tarafından devre dışı bırakılır. Depolama Eşitleme Hizmeti'ne özel uç noktaları üzerinden erişmeye devam edebilirsiniz. | Değiştir, Devre Dışı | 1.0.0 |
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
Güvenlik Operasyonları Merkezi (SOC)
Güvenlik Operasyonları Merkezi (SOC) - 11.17
Kimlik: RMiT 11.17 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uyarlamalı uygulama denetim ilkenizdeki izin verilenler listesi kuralları güncelleştirilmelidir | Azure Güvenlik Merkezi uyarlamalı uygulama denetimleriyle denetim için yapılandırılmış makine gruplarındaki davranış değişikliklerini izleyin. Güvenlik Merkezi, makinelerinizdeki çalışan işlemleri analiz etmek ve bilinen güvenli uygulamaların listesini önermek için makine öğrenmesini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Güvenlik Operasyonları Merkezi (SOC) - 11.18
Kimlik: RMiT 11.18 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL veritabanı sunucuları için bağlantı kesilmeleri günlüğe kaydedilmelidir. | Bu ilke, ortamınızdaki postgreSQL veritabanlarını log_disconnections etkinleştirilmeden denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük denetim noktaları etkinleştirilmelidir | Bu ilke, log_checkpoints ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük bağlantıları etkinleştirilmelidir | Bu ilke, log_connections ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| PostgreSQL veritabanı sunucuları için günlük süresi etkinleştirilmelidir | Bu ilke, log_duration ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| SQL Denetim ayarları, kritik etkinlikleri yakalamak için yapılandırılmış Eylem Gruplarına sahip olmalıdır | AuditActionsAndGroups özelliği, kapsamlı bir denetim günlüğü sağlamak için en az SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP içermelidir | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Güvenlik Operasyonları Merkezi (SOC) - 11.20
Kimlik: RMiT 11.20 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Siber Risk Yönetimi
Siber Risk Yönetimi - 11.2
Kimlik: RMiT 11.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Siber Risk Yönetimi - 11.4
Kimlik: RMiT 11.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Belirli bir etiket olmadan sanal makinelerde yedeklemeyi aynı konumdaki mevcut bir kurtarma hizmetleri kasasına yapılandırma | Tüm sanal makineleri sanal makineyle aynı konumda ve abonelikte mevcut bir merkezi kurtarma hizmetleri kasasına yedekleyerek yedeklemeyi zorunlu tutun. Bunu yapmak, kuruluşunuzda bir abonelikteki tüm kaynaklar için yedeklemeleri yöneten merkezi bir ekip olduğunda yararlıdır. İsteğe bağlı olarak, atama kapsamını denetlemek için belirtilen etiketi içeren sanal makineleri dışlayabilirsiniz. Bkz. https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| İzin verilmeyen kaynak türleri | Ortamınızda hangi kaynak türlerinin dağıtılabileceğini kısıtlayın. Kaynak türlerini sınırlamak, ortamınızın karmaşıklığını ve saldırı yüzeyini azaltırken maliyetlerin yönetilmesine de yardımcı olabilir. Uyumluluk sonuçları yalnızca uyumlu olmayan kaynaklar için gösterilir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Yalnızca onaylı VM uzantıları yüklenmelidir | Bu ilke, onaylanmamış sanal makine uzantılarını yönetir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Siber Güvenlik Operasyonları
Siber Güvenlik Operasyonları - 11.5
Kimlik: RMiT 11.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Depolama hesaplarına Depolama için Defender (Klasik) dağıtma | Bu ilke, depolama hesaplarında Depolama için Defender'ı (Klasik) etkinleştirir. | DeployIfNotExists, Devre Dışı | 1.0.1 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Siber Güvenlik Operasyonları - 11.8
Kimlik: RMiT 11.8 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Siber Güvenlikle İlgili Denetim Önlemleri
Siber Güvenlik Denetim Önlemleri - Ek 5.2
Kimlik: RMiT Ek 5.2 Sahiplik: Müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Siber Güvenlik Denetim Önlemleri - Ek 5.3
Kimlik: RMiT Ek 5.3 Sahiplik: Müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
Siber Güvenlik Denetim Önlemleri - Ek 5.5
Kimlik: RMiT Ek 5.5 Sahiplik: Müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm Azure sanal ağ geçidi bağlantılarına özel bir IPsec/IKE ilkesi uygulanmalıdır | Bu ilke, tüm Azure sanal ağ geçidi bağlantılarının özel bir İnternet Protokolü Güvenliği (Ipsec)/İnternet Anahtar Değişimi (IKE) ilkesi kullanmasını sağlar. Desteklenen algoritmalar ve anahtar güçlü yönleri - https://aka.ms/AA62kb0 | Denetim, Devre Dışı | 1.0.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen dış IP'leri kullanmalıdır | Kubernetes kümesinde olası saldırılardan (CVE-2020-8554) kaçınmak için izin verilen dış IP'leri kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
Siber Güvenlik Denetim Önlemleri - Ek 5.6
Kimlik: RMiT Ek 5.6 Sahiplik: Müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır | TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.1.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.1.0 |
| MariaDB sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan MariaDB için Azure Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, MariaDB için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan MySQL için Azure Veritabanı trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, MySQL için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucusu bir sanal ağ hizmet uç noktası kullanmalıdır | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan PostgreSQL için Azure Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. Bu ilke, PostgreSQL için Azure Veritabanı sanal ağ hizmet uç noktasının kullanılıp kullanılmadığını denetlemek için bir yol sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL esnek sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, MySQL için Azure Veritabanı esnek sunucularınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL esnek sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğini devre dışı bırakmak, PostgreSQL için Azure Veritabanı esnek sunucularınıza yalnızca özel bir uç noktadan erişilmesini sağlayarak güvenliği artırır. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 3.1.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| SQL Yönetilen Örneği en düşük 1.2 TLS sürümüne sahip olmalıdır | En düşük TLS sürümünün 1.2 olarak ayarlanması, SQL Yönetilen Örneği yalnızca TLS 1.2 kullanan istemcilerden erişilebilir olmasını sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Devre Dışı | 1.0.1 |
| belirtilen alt ağdan gelen trafiğe izin vermek için Azure SQL Veritabanı sanal ağ güvenlik duvarı kuralı etkinleştirilmelidir | Sanal ağ tabanlı güvenlik duvarı kuralları, belirli bir alt ağdan Azure SQL Veritabanı'a giden trafiği etkinleştirmek ve trafiğin Azure sınırı içinde kalmasını sağlamak için kullanılır. | AuditIfNotExists | 1.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF) Application Gateway için belirtilen modu kullanmalıdır | Application Gateway için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Web Uygulaması Güvenlik Duvarı (WAF) Azure Front Door Service için belirtilen modu kullanmalıdır | Azure Front Door Service için tüm Web Uygulaması Güvenlik Duvarı ilkelerinde 'Algılama' veya 'Önleme' modunun kullanılmasını zorunlu kılar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Siber Güvenlik Denetim Önlemleri - Ek 5.7
Kimlik: RMiT Ek 5.7 Sahiplik: Müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm akış günlüğü kaynakları etkin durumda olmalıdır | Akış günlüğü durumunun etkinleştirilip etkinleştirilmediğini doğrulamak için akış günlüğü kaynaklarını denetleyin. Akış günlüklerinin etkinleştirilmesi, IP trafiği akışı hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.0.1 |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Aboneliğinizde Log Analytics aracısının otomatik olarak sağlanması etkinleştirilmelidir | Güvenlik açıklarını ve tehditleri izlemek için Azure Güvenlik Merkezi Azure sanal makinelerinizden veri toplar. Veriler, daha önce Microsoft Monitoring Agent (MMA) olarak bilinen Log Analytics aracısı tarafından toplanır ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okur ve verileri analiz için Log Analytics çalışma alanınıza kopyalar. Aracıyı desteklenen tüm Azure VM'lerine ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Server'ı özel uç nokta bağlantılarını etkinleştirecek şekilde yapılandırma | Özel uç nokta bağlantısı, sanal ağın içindeki özel IP adresi aracılığıyla Azure SQL Veritabanı özel bağlantı sağlar. Bu yapılandırma, güvenlik duruşunuzu geliştirir ve Azure ağ araçlarını ve senaryolarını destekler. | DeployIfNotExists, Devre Dışı | 1.0.0 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır | Akış günlüklerinin yapılandırılıp yapılandırılmadığını doğrulamak için ağ güvenlik gruplarını denetleyin. Akış günlüklerinin etkinleştirilmesi, ağ güvenlik grubu üzerinden akan IP trafiği hakkındaki bilgilerin günlüğe kaydedilmesine olanak tanır. Ağ akışlarını iyileştirmek, aktarım hızını izlemek, uyumluluğu doğrulamak, yetkisiz girişleri algılamak ve daha fazlası için kullanılabilir. | Denetim, Devre Dışı | 1.1.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makinenize yüklenmelidir | Bu ilke, Güvenlik Merkezi'nin güvenlik açıklarını ve tehditlerini izlemek için kullandığı Log Analytics aracısı yüklü değilse tüm Windows/Linux sanal makinelerini (VM) denetler | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Log Analytics aracısı, Azure Güvenlik Merkezi izleme için sanal makine ölçek kümelerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinizden (VM) veri toplar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır | Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Kapsayıcı güvenliği yapılandırmalarındaki güvenlik açıkları düzeltilmelidir | Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasındaki güvenlik açıklarını denetleyin ve Azure Güvenlik Merkezi öneriler olarak görüntüleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sonraki adımlar
Azure İlkesi hakkında ek makaleler:
- Mevzuat Uyumluluğuna genel bakış.
- Girişim tanımı yapısına bakın.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin