NIST SP 800-53 Rev. 5 (Azure Government) 法規合規性內建方案的詳細數據
下列文章詳細說明 Azure 原則 法規合規性內建方案定義如何對應至 NIST SP 800-53 Rev. 5 (Azure Government) 中的合規性網域和控件。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
下列對應是 NIST SP 800-53 Rev. 5 控制件。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 NIST SP 800-53 Rev. 5 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
存取控制
原則和程序
標識碼:NIST SP 800-53 Rev. 5 AC-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1000 - 存取控制 原則和程式需求 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1001 - 存取控制 原則和程式需求 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
帳戶管理
標識碼:NIST SP 800-53 Rev. 5 AC-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft 管理控件 1002 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1003 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1004 - 帳戶管理 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1005 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1006 - 帳戶管理 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1007 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1008 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1009 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1010 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1011 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1012 - 帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1022 - 帳戶管理 |共用/組帳戶認證終止 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
自動化系統帳戶管理
標識碼:NIST SP 800-53 Rev. 5 AC-2 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Microsoft 管理控件 1013 - 帳戶管理 |自動化系統帳戶管理 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
自動化暫時和緊急帳戶管理
標識碼:NIST SP 800-53 Rev. 5 AC-2 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1014 - 帳戶管理 |拿掉暫時/緊急帳戶 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
停用帳戶
標識碼:NIST SP 800-53 Rev. 5 AC-2 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1015 - 帳戶管理 |停用非使用中的帳戶 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
自動化稽核動作
標識碼:NIST SP 800-53 Rev. 5 AC-2 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1016 - 帳戶管理 |自動化稽核動作 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
非使用狀態登出
標識碼:NIST SP 800-53 Rev. 5 AC-2 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1017 - 帳戶管理 |無活動註銷 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
具有特殊權限的使用者帳戶
標識碼:NIST SP 800-53 Rev. 5 AC-2 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Microsoft 管理控件 1018 - 帳戶管理 |角色型配置 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1019 - 帳戶管理 |角色型配置 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1020 - 帳戶管理 |角色型配置 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
共用及群組帳戶的使用限制
標識碼:NIST SP 800-53 Rev. 5 AC-2 (9) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1021 - 帳戶管理 |使用共用/組帳戶的限制 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
使用狀況
標識碼:NIST SP 800-53 Rev. 5 AC-2 (11) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1023 - 帳戶管理 |使用狀況 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
非典型使用方式的帳戶監視
標識碼:NIST SP 800-53 Rev. 5 AC-2 (12) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1024 - 帳戶管理 |帳戶監視/ 非典型使用量 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1025 - 帳戶管理 |帳戶監視/ 非典型使用量 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
停用高風險個人的帳戶
標識碼:NIST SP 800-53 Rev. 5 AC-2 (13) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1026 - 帳戶管理 |停用高風險個人的帳戶 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
強制存取
標識碼:NIST SP 800-53 Rev. 5 AC-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1027 - 強制執行存取 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
基於角色的存取控制
標識碼:NIST SP 800-53 Rev. 5 AC-3 (7) 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
資訊流程強制
標識碼:NIST SP 800-53 Rev. 5 AC-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| Kubernetes Services 上應定義授權 IP 範圍 | 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 | Audit, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應停用公用網路存取 | 停用公用網路存取可確保 Azure 認知搜尋服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您搜尋服務的曝光。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 及 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1028 - 資訊流程強制執行 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
動態資訊流量控制
標識碼:NIST SP 800-53 Rev. 5 AC-4 (3) 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
安全性與隱私權原則篩選器
標識碼:NIST SP 800-53 Rev. 5 AC-4 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1029 - 資訊流程強制執行 |安全策略篩選 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
資訊流程實體或邏輯區隔
標識碼:NIST SP 800-53 Rev. 5 AC-4 (21) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1030 - 資訊流程強制執行 |資訊流程的實體/邏輯分隔 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
職責區分
標識碼:NIST SP 800-53 Rev. 5 AC-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1031 - 職責分離 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1032 - 職責分離 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1033 - 職責分離 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
最小特殊權限
標識碼:NIST SP 800-53 Rev. 5 AC-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| Microsoft 管理控件 1034 - 最低許可權 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
授權存取安全性功能
標識碼:NIST SP 800-53 Rev. 5 AC-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1035 - 最低許可權 |授權安全性函式的存取權 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
非安全性函式的非特殊許可權存取
標識碼:NIST SP 800-53 Rev. 5 AC-6 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1036 - 最低許可權 |非安全性函式的非特殊許可權存取 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
特殊許可權命令的網路存取
標識碼:NIST SP 800-53 Rev. 5 AC-6 (3) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1037 - 最低許可權 |特殊許可權命令的網路存取 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
具特殊權限的帳戶
標識碼:NIST SP 800-53 Rev. 5 AC-6 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1038 - 最低許可權 |特殊許可權帳戶 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
對於使用者權限的檢閱
標識碼:NIST SP 800-53 Rev. 5 AC-6 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| Microsoft 管理控件 1039 - 最低許可權 |檢閱用戶許可權 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1040 - 最低許可權 |檢閱用戶許可權 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
適用於程式碼執行的權限層級
標識碼:NIST SP 800-53 Rev. 5 AC-6 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1041 - 最低許可權 |程式代碼執行的許可權等級 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
記錄特殊權限函式的使用
標識碼:NIST SP 800-53 Rev. 5 AC-6 (9) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1042 - 最低許可權 |稽核特殊許可權函式的使用 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
禁止非特殊許可權使用者執行特殊許可權函式
標識碼:NIST SP 800-53 Rev. 5 AC-6 (10) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1043 - 最低許可權 |禁止非特殊許可權使用者執行特殊許可權函式 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
不成功的登入嘗試
標識碼:NIST SP 800-53 Rev. 5 AC-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1044 - 登入嘗試失敗 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1045 - 登入嘗試失敗 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
清除或抹除行動裝置
標識碼:NIST SP 800-53 Rev. 5 AC-7 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1046 - 登入嘗試失敗 |清除/抹除行動裝置 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
系統使用通知
標識碼:NIST SP 800-53 Rev. 5 AC-8 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1047 - 系統使用通知 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1048 - 系統使用通知 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1049 - 系統使用通知 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
並行工作階段控制項
標識碼:NIST SP 800-53 Rev. 5 AC-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1050 - 並行會話控件 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
裝置鎖定
標識碼:NIST SP 800-53 Rev. 5 AC-11 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1051 - 會話鎖定 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1052 - 會話鎖定 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
模式隱藏顯示
標識碼:NIST SP 800-53 Rev. 5 AC-11 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1053 - 會話鎖定 |模式隱藏顯示 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
工作階段終止
標識碼:NIST SP 800-53 Rev. 5 AC-12 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1054 - 會話終止 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
使用者起始的登出
標識碼:NIST SP 800-53 Rev. 5 AC-12 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1055 - 會話終止 |使用者起始的註銷/訊息顯示 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1056 - 會話終止 |使用者起始的註銷/訊息顯示 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
已允許動作,而不需要識別或驗證
標識碼:NIST SP 800-53 Rev. 5 AC-14 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1057 - 未經識別或驗證的允許動作 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1058 - 未經識別或驗證的允許動作 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
安全性和隱私權屬性
標識碼:NIST SP 800-53 Rev. 5 AC-16 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
遠端存取
標識碼:NIST SP 800-53 Rev. 5 AC-17 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| Microsoft 管理控件 1059 - 遠端訪問 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1060 - 遠端訪問 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
監視和控制
標識碼:NIST SP 800-53 Rev. 5 AC-17 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| Microsoft 管理控件 1061 - 遠端訪問 |自動化監視/控制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
使用加密保護機密性及完整性
標識碼:NIST SP 800-53 Rev. 5 AC-17 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1062 - 遠端訪問 |使用加密保護機密性/完整性 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
受控存取控制點
標識碼:NIST SP 800-53 Rev. 5 AC-17 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1063 - 遠端訪問 |受控 存取控制 點 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
特殊權限命令及存取
標識碼:NIST SP 800-53 Rev. 5 AC-17 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1064 - 遠端訪問 |特殊許可權命令/存取 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1065 - 遠端訪問 |特殊許可權命令/存取 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
中斷連線或停用存取
標識碼:NIST SP 800-53 Rev. 5 AC-17 (9) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1066 - 遠端訪問 |中斷連線/停用存取 | Microsoft 實作此 存取控制 控件 | 稽核 | 1.0.0 |
無線存取
標識碼:NIST SP 800-53 Rev. 5 AC-18 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1067 - 無線存取限制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1068 - 無線存取限制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
驗證和加密
標識碼:NIST SP 800-53 Rev. 5 AC-18 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1069 - 無線存取限制 |驗證和加密 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
停用無線網路
標識碼:NIST SP 800-53 Rev. 5 AC-18 (3) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1070 - 無線存取限制 |停用無線網路 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
依使用者限制組態
標識碼:NIST SP 800-53 Rev. 5 AC-18 (4) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1071 - 無線存取限制 |依使用者限制組態 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
天線和傳輸功率等級
標識碼:NIST SP 800-53 Rev. 5 AC-18 (5) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1072 - 無線存取限制 |天線/傳輸功率等級 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
適用於行動裝置的存取控制措施
標識碼:NIST SP 800-53 Rev. 5 AC-19 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1073 - 適用於可攜式和行動系統的 存取控制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1074 - 適用於可攜式和行動系統的 存取控制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
完整裝置或容器型加密
標識碼:NIST SP 800-53 Rev. 5 AC-19 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1075 - 適用於可攜式和行動系統的 存取控制 |完整裝置/容器型加密 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
外部系統的使用
標識碼:NIST SP 800-53 Rev. 5 AC-20 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1076 - 使用外部信息系統 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1077 - 使用外部信息系統 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
授權使用的限制
標識碼:NIST SP 800-53 Rev. 5 AC-20 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1078 - 使用外部信息系統 |授權使用的限制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1079 - 使用外部信息系統 |授權使用的限制 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
可攜式儲存裝置 限制的使用
標識碼:NIST SP 800-53 Rev. 5 AC-20 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1080 - 使用外部信息系統 |可攜式 儲存體 裝置 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
資訊共用
標識碼:NIST SP 800-53 Rev. 5 AC-21 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1081 - 信息共用 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1082 - 信息共用 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
可公開存取的內容
標識碼:NIST SP 800-53 Rev. 5 AC-22 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1083 - 可公開存取的內容 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1084 - 可公開存取的內容 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1085 - 可公開存取的內容 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1086 - 可公開存取的內容 | Microsoft 會實作此 存取控制 控件 | 稽核 | 1.0.0 |
認知和訓練
原則和程序
標識碼:NIST SP 800-53 Rev. 5 AT-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1087 - 安全性意識和訓練原則和程式 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1088 - 安全性意識和訓練原則和程式 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
讀寫訓練與認知
標識碼:NIST SP 800-53 Rev. 5 AT-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1089 - 安全性感知 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1090 - 安全性感知 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1091 - 安全性感知 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
內部威脅
標識碼:NIST SP 800-53 Rev. 5 AT-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1092 - 安全性感知 |測試人員威脅 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
角色訓練
標識碼:NIST SP 800-53 Rev. 5 AT-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1093 - 角色型安全性訓練 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1094 - 角色型安全性訓練 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1095 - 角色型安全性訓練 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
實務練習
標識碼:NIST SP 800-53 Rev. 5 AT-3 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1096 - 角色型安全性訓練 |實用練習 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
訓練記錄
標識碼:NIST SP 800-53 Rev. 5 AT-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1098 - 安全性訓練記錄 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1099 - 安全性訓練記錄 | Microsoft 會實作此認知和訓練控件 | 稽核 | 1.0.0 |
稽核和責任
原則和程序
標識碼:NIST SP 800-53 Rev. 5 AU-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1100 - 稽核和責任原則和程式 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1101 - 稽核和責任原則和程式 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
事件記錄
標識碼:NIST SP 800-53 Rev. 5 AU-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1102 - 稽核事件 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1103 - 稽核事件 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1104 - 稽核事件 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1105 - 稽核事件 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1106 - 稽核事件 |評論和 更新 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
稽核記錄的內容
標識碼:NIST SP 800-53 Rev. 5 AU-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1107 - 稽核記錄的內容 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
其他稽核資訊
標識碼:NIST SP 800-53 Rev. 5 AU-3 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1108 - 稽核記錄的內容 |其他稽核資訊 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
稽核記錄儲存容量
標識碼:NIST SP 800-53 Rev. 5 AU-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1110 - 稽核 儲存體 容量 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
回應稽核記錄程式失敗
標識碼:NIST SP 800-53 Rev. 5 AU-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1111 - 稽核處理失敗的回應 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1112 - 稽核處理失敗的回應 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
儲存體 容量警告
標識碼:NIST SP 800-53 Rev. 5 AU-5 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1113 - 稽核處理失敗的回應 |稽核 儲存體 容量 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
即時警示
標識碼:NIST SP 800-53 Rev. 5 AU-5 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1114 - 稽核處理失敗的回應 |即時警示 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
稽核記錄檢閱、分析及報告
標識碼:NIST SP 800-53 Rev. 5 AU-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1115 - 稽核檢閱、分析和報告 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1116 - 稽核檢閱、分析和報告 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1123 - 稽核檢閱、分析和報告 |稽核層級調整 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
自動化程式整合
標識碼:NIST SP 800-53 Rev. 5 AU-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1117 - 稽核檢閱、分析和報告 |進程整合 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
關聯稽核記錄存放庫
標識碼:NIST SP 800-53 Rev. 5 AU-6 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1118 - 稽核檢閱、分析和報告 |將稽核存放庫相互關聯 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
集中式檢閱與分析
標識碼:NIST SP 800-53 Rev. 5 AU-6 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1119 - 稽核檢閱、分析和報告 |集中檢閱和分析 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
稽核記錄的整合式分析
標識碼:NIST SP 800-53 Rev. 5 AU-6 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1120 - 稽核檢閱、分析和報告 |整合/掃描和監視功能 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
與實體監視的相互關聯
標識碼:NIST SP 800-53 Rev. 5 AU-6 (6) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1121 - 稽核檢閱、分析和報告 |與實體監視的相互關聯 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
允許的動作
標識碼:NIST SP 800-53 Rev. 5 AU-6 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1122 - 稽核檢閱、分析和報告 |允許的動作 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
稽核記錄減少與報告產生
標識碼:NIST SP 800-53 Rev. 5 AU-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1124 - 稽核縮減和產生報告 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1125 - 稽核縮減和產生報告 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
自動化處理
標識碼:NIST SP 800-53 Rev. 5 AU-7 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1126 - 稽核縮減和產生報告 |自動處理 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
時間戳記
標識碼:NIST SP 800-53 Rev. 5 AU-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1127 - 時間戳 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1128 - 時間戳 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
保護稽核資訊
標識碼:NIST SP 800-53 Rev. 5 AU-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1131 - 稽核信息的保護 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
儲存在個別實體系統或元件上
標識碼:NIST SP 800-53 Rev. 5 AU-9 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1132 - 稽核信息的保護 |在個別的實體系統/元件上稽核備份 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
密碼編譯保護
標識碼:NIST SP 800-53 Rev. 5 AU-9 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1133 - 稽核信息的保護 |密碼編譯保護 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
以特殊權限使用者子集存取
標識碼:NIST SP 800-53 Rev. 5 AU-9 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1134 - 稽核信息的保護 |依特殊許可權使用者的子集存取 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
不可否認性
標識碼:NIST SP 800-53 Rev. 5 AU-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1135 - 不可否認性 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
保留稽核記錄
標識碼:NIST SP 800-53 Rev. 5 AU-11 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1136 - 稽核記錄保留 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
稽核記錄產生
標識碼:NIST SP 800-53 Rev. 5 AU-12 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1137 - 稽核產生 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1138 - 稽核產生 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1139 - 稽核產生 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
全系統及時間相互關聯的稽核線索
標識碼:NIST SP 800-53 Rev. 5 AU-12 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1140 - 稽核產生 |全系統/時間相互關聯的稽核記錄 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
已授權的個人所做的變更
標識碼:NIST SP 800-53 Rev. 5 AU-12 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1141 - 稽核產生 |授權個人所做的變更 | Microsoft 會實作此稽核和責任控制 | 稽核 | 1.0.0 |
評定、授權及監視
原則和程序
標識碼:NIST SP 800-53 Rev. 5 CA-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1142 - 認證、授權、安全性評定原則和程式 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1143 - 認證、授權、安全性評定原則和程式 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
控制評定
標識碼:NIST SP 800-53 Rev. 5 CA-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1144 - 安全性評定 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1145 - 安全性評定 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1146 - 安全性評定 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1147 - 安全性評定 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
獨立評估者
標識碼:NIST SP 800-53 Rev. 5 CA-2 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1148 - 安全性評定 |獨立評估員 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
專業評定
標識碼:NIST SP 800-53 Rev. 5 CA-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1149 - 安全性評定 |特製化評定 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
利用外部組織的結果
標識碼:NIST SP 800-53 Rev. 5 CA-2 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1150 - 安全性評定 |外部組織 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
資訊交換
標識碼:NIST SP 800-53 Rev. 5 CA-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1151 - 系統相互連線 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1152 - 系統相互連線 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1153 - 系統相互連線 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
動作計畫和里程碑
標識碼:NIST SP 800-53 Rev. 5 CA-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1156 - 行動計劃和里程碑 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1157 - 行動計劃和里程碑 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
授權
標識碼:NIST SP 800-53 Rev. 5 CA-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1158 - 安全性授權 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1159 - 安全性授權 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1160 - 安全性授權 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
持續監視
標識碼:NIST SP 800-53 Rev. 5 CA-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1161 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1162 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1163 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1164 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1165 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1166 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1167 - 持續監視 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
獨立評量
標識碼:NIST SP 800-53 Rev. 5 CA-7 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1168 - 持續監視 |獨立評量 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
趨勢分析
標識碼:NIST SP 800-53 Rev. 5 CA-7 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1169 - 持續監視 |趨勢分析 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
滲透測試
標識碼:NIST SP 800-53 Rev. 5 CA-8 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1170 - 滲透測試 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
獨立滲透測試代理程式或小組
標識碼:NIST SP 800-53 Rev. 5 CA-8 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1171 - 滲透測試 |獨立滲透代理程式或小組 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
內部系統連線
標識碼:NIST SP 800-53 Rev. 5 CA-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1172 - 內部系統 連線 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1173 - 內部系統 連線 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
組態管理
原則和程序
標識碼:NIST SP 800-53 Rev. 5 CM-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1174 - 設定管理原則和程式 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1175 - 設定管理原則和程式 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
基準組態
標識碼:NIST SP 800-53 Rev. 5 CM-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1176 - 基準設定 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1177 - 基準設定 |評論和 更新 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1178 - 基準設定 |評論和 更新 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1179 - 基準設定 |評論和 更新 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
自動化精確度及貨幣的支援
標識碼:NIST SP 800-53 Rev. 5 CM-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1180 - 基準設定 |精確度/貨幣的自動化支援 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
保留先前設定
標識碼:NIST SP 800-53 Rev. 5 CM-2 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1181 - 基準設定 |保留先前的組態 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
設定高風險領域的系統和元件
標識碼:NIST SP 800-53 Rev. 5 CM-2 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1182 - 基準設定 |設定高風險區域的系統、元件或裝置 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1183 - 基準設定 |設定高風險區域的系統、元件或裝置 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
組態變更控制措施
標識碼:NIST SP 800-53 Rev. 5 CM-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1184 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1185 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1186 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1187 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1188 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1189 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1190 - 設定變更控件 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
自動化文件、通知和變更的修訂
標識碼:NIST SP 800-53 Rev. 5 CM-3 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1191 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1192 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1193 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1194 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1195 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1196 - 設定變更控件 |自動化檔/通知/禁止變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
變更的測試、驗證及文件
標識碼:NIST SP 800-53 Rev. 5 CM-3 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1197 - 設定變更控件 |測試/驗證/文件變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
安全性與隱私權代表
標識碼:NIST SP 800-53 Rev. 5 CM-3 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1198 - 設定變更控件 |安全性代表 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
加密管理
標識碼:NIST SP 800-53 Rev. 5 CM-3 (6) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1199 - 設定變更控件 |密碼編譯管理 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
影響分析
標識碼:NIST SP 800-53 Rev. 5 CM-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1200 - 安全性影響分析 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
個別測試環境
標識碼:NIST SP 800-53 Rev. 5 CM-4 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1201 - 安全性影響分析 |個別測試環境 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
變更的存取限制
標識碼:NIST SP 800-53 Rev. 5 CM-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1202 - 變更的存取限制 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
自動化存取強制執行和稽核記錄
標識碼:NIST SP 800-53 Rev. 5 CM-5 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1203 - 變更的存取限制 |自動化存取強制執行/稽核 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
實際執行環境與作業的權限限制
標識碼:NIST SP 800-53 Rev. 5 CM-5 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1206 - 變更的存取限制 |限制生產/操作許可權 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1207 - 變更的存取限制 |限制生產/操作許可權 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
組態設定
標識碼:NIST SP 800-53 Rev. 5 CM-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 Http 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 10.1.0 |
| Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
| Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
| Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
| Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 10.1.1 |
| Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
| Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
| Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.1 |
| Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
| 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
| 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 10.1.0 |
| Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
| Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 1.5.0 |
| Microsoft 管理控件 1208 - 設定 設定 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1209 - 設定 設定 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1210 - 設定 設定 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1211 - 設定 設定 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 1.0.0 |
自動化管理、應用程式和驗證
標識碼:NIST SP 800-53 Rev. 5 CM-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1212 - 組態 設定 |自動化中央管理/應用程式/驗證 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
回應未經授權的變更
標識碼:NIST SP 800-53 Rev. 5 CM-6 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1213 - 組態 設定 |回應未經授權的變更 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
最少的功能
標識碼:NIST SP 800-53 Rev. 5 CM-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft 管理控件 1214 - 最少功能 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1215 - 最低功能 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
定期檢閱
標識碼:NIST SP 800-53 Rev. 5 CM-7 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1216 - 最低功能 |定期檢閱 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1217 - 最低功能 |定期檢閱 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
防止程式執行
標識碼:NIST SP 800-53 Rev. 5 CM-7 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1218 - 最低功能 |防止程序執行 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
授權的軟體 ??? 例外狀況時允許
標識碼:NIST SP 800-53 Rev. 5 CM-7 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1219 - 最低功能 |授權的軟體/允許清單 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1220 - 最低功能 |授權的軟體/允許清單 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1221 - 最低功能 |授權的軟體/允許清單 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
系統元件清查
標識碼:NIST SP 800-53 Rev. 5 CM-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1222 - 資訊系統元件清查 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1223 - 資訊系統元件清查 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1229 - 資訊系統元件清查 |元件沒有重複的會計 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
安裝與移除期間的更新
標識碼:NIST SP 800-53 Rev. 5 CM-8 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1224 - 資訊系統元件清查 |安裝/移除期間 更新 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
自動化維護
標識碼:NIST SP 800-53 Rev. 5 CM-8 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1225 - 資訊系統元件清查 |自動化維護 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
自動化未經授權元件偵測
標識碼:NIST SP 800-53 Rev. 5 CM-8 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1226 - 資訊系統元件清查 |自動未經授權的元件偵測 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1227 - 資訊系統元件清查 |自動未經授權的元件偵測 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1241 - 使用者安裝的軟體 |未經授權安裝的警示 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
責任資訊
標識碼:NIST SP 800-53 Rev. 5 CM-8 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1228 - 資訊系統元件清查 |責任資訊 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
組態管理計畫
標識碼:NIST SP 800-53 Rev. 5 CM-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1230 - 設定管理計劃 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1231 - 設定管理計劃 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1232 - 組態管理計劃 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1233 - 設定管理計劃 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
軟體使用限制
標識碼:NIST SP 800-53 Rev. 5 CM-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1234 - 軟體使用限制 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1235 - 軟體使用限制 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1236 - 軟體使用限制 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
開放原始碼軟體
標識碼:NIST SP 800-53 Rev. 5 CM-10 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1237 - 軟體使用限制 |開放原始碼軟體 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
使用者安裝的軟體
標識碼:NIST SP 800-53 Rev. 5 CM-11 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控制項 1238 - 使用者安裝的軟體 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1239 - 使用者安裝的軟體 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1240 - 使用者安裝的軟體 | Microsoft 會實作此設定管理控制項 | 稽核 | 1.0.0 |
應變計劃
原則和程序
標識碼:NIST SP 800-53 Rev. 5 CP-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1242 - 應變計劃原則和程式 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1243 - 應變計劃原則和程式 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
應變計劃
標識碼:NIST SP 800-53 Rev. 5 CP-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1244 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1245 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1246 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1247 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1248 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1249 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1250 - 應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
協調相關計劃
標識碼:NIST SP 800-53 Rev. 5 CP-2 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1251 - 應變計劃 |與相關計畫協調 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
容量規劃
標識碼:NIST SP 800-53 Rev. 5 CP-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1252 - 應變計劃 |容量規劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
繼續任務和商務功能
標識碼:NIST SP 800-53 Rev. 5 CP-2 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1253 - 應變計劃 |繼續基本任務/商務功能 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1254 - 應變計劃 |繼續所有任務/商務功能 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
繼續任務和商務功能
標識碼:NIST SP 800-53 Rev. 5 CP-2 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1255 - 應變計劃 |繼續基本任務/商務功能 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
識別關鍵資產
標識碼:NIST SP 800-53 Rev. 5 CP-2 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1256 - 應變計劃 |識別重要資產 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
應變訓練
標識碼:NIST SP 800-53 Rev. 5 CP-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1257 - 應變訓練 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1258 - 應變訓練 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1259 - 應變訓練 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
模擬的事件
標識碼:NIST SP 800-53 Rev. 5 CP-3 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1260 - 應變訓練 |模擬事件 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
應變計劃測試
標識碼:NIST SP 800-53 Rev. 5 CP-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1261 - 應變計劃測試 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1262 - 應變計劃測試 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1263 - 應變計劃測試 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
協調相關計劃
標識碼:NIST SP 800-53 Rev. 5 CP-4 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1264 - 應變計劃測試 |與相關計畫協調 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
替代處理地點
標識碼:NIST SP 800-53 Rev. 5 CP-4 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1265 - 應變計劃測試 |替代處理網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1266 - 應變計劃測試 |替代處理網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
替代儲存地點
標識碼:NIST SP 800-53 Rev. 5 CP-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為儲存體帳戶啟用異地備援儲存體 | 使用異地備援、建立高可用性的應用程式 | Audit, Disabled | 1.0.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft 管理控件 1267 - 替代 儲存體 網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1268 - 替代 儲存體 網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
與主要站台的區隔
標識碼:NIST SP 800-53 Rev. 5 CP-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為儲存體帳戶啟用異地備援儲存體 | 使用異地備援、建立高可用性的應用程式 | Audit, Disabled | 1.0.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft 管理控件 1269 - 替代 儲存體 網站 |與主要月臺分離 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
復原時間和復原點目標
標識碼:NIST SP 800-53 Rev. 5 CP-6 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1270 - 替代 儲存體 網站 |復原時間/時間點目標 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
協助工具
標識碼:NIST SP 800-53 Rev. 5 CP-6 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1271 - 替代 儲存體 網站 |輔助功能 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
替代處理地點
標識碼:NIST SP 800-53 Rev. 5 CP-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核未設定災害復原的虛擬機器 | 稽核未設定災害復原的虛擬機器。 若要深入了解災害復原,請造訪 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| Microsoft 管理控件 1272 - 替代處理網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1273 - 替代處理網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1274 - 替代處理網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
與主要站台的區隔
標識碼:NIST SP 800-53 Rev. 5 CP-7 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1275 - 替代處理網站 |與主要月臺分離 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
協助工具
標識碼:NIST SP 800-53 Rev. 5 CP-7 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1276 - 替代處理網站 |輔助功能 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
服務優先順序
標識碼:NIST SP 800-53 Rev. 5 CP-7 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1277 - 替代處理網站 |服務優先順序 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
準備使用
標識碼:NIST SP 800-53 Rev. 5 CP-7 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1278 - 替代處理網站 |準備使用 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
電信服務
標識碼:NIST SP 800-53 Rev. 5 CP-8 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1279 - 電信服務 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
服務佈建優先順序
標識碼:NIST SP 800-53 Rev. 5 CP-8 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1280 - 電信服務 |服務布建的優先順序 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1281 - 電信服務 |服務布建的優先順序 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
單一失敗點
標識碼:NIST SP 800-53 Rev. 5 CP-8 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1282 - 電信服務 |單一失敗點 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
主要和替代提供者的分隔
標識碼:NIST SP 800-53 Rev. 5 CP-8 (3) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1283 - 電信服務 |主要/替代提供者的分隔 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
提供者應變計劃
標識碼:NIST SP 800-53 Rev. 5 CP-8 (4) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1284 - 電信服務 |提供者應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1285 - 電信服務 |提供者應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1286 - 電信服務 |提供者應變計劃 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
系統備份
標識碼:NIST SP 800-53 Rev. 5 CP-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
| 金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
| Microsoft 管理控件 1287 - 資訊系統備份 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1288 - 資訊系統備份 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1289 - 資訊系統備份 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1290 - 資訊系統備份 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
測試可靠性與完整性
標識碼:NIST SP 800-53 Rev. 5 CP-9 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1291 - 資訊系統備份 |測試可靠性/完整性 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
使用取樣測試還原
標識碼:NIST SP 800-53 Rev. 5 CP-9 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1292 - 資訊系統備份 |使用取樣測試還原 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
分隔關鍵資訊的儲存體
標識碼:NIST SP 800-53 Rev. 5 CP-9 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1293 - 資訊系統備份 |區分重要資訊 儲存體 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
傳輸至替代儲存地點
標識碼:NIST SP 800-53 Rev. 5 CP-9 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1294 - 資訊系統備份 |傳送至替代 儲存體 網站 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
系統復原與重新確認
標識碼:NIST SP 800-53 Rev. 5 CP-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1295 - 資訊系統復原和重建 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
交易復原
標識碼:NIST SP 800-53 Rev. 5 CP-10 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1296 - 資訊系統復原和重建 |交易復原 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
在時間週期內還原
標識碼:NIST SP 800-53 Rev. 5 CP-10 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1297 - 資訊系統復原和重建 |在時間週期內還原 | Microsoft 會實作此應變計劃控制件 | 稽核 | 1.0.0 |
驗證與授權
原則和程序
標識碼:NIST SP 800-53 Rev. 5 IA-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1298 - 識別和驗證原則和程式 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1299 - 識別和驗證原則和程式 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
識別與驗證 (組織使用者)
標識碼:NIST SP 800-53 Rev. 5 IA-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1300 - 使用者識別和驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
授權帳戶的多重要素驗證
標識碼:NIST SP 800-53 Rev. 5 IA-2 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft 管理控件 1301 - 使用者識別和驗證 |特殊許可權帳戶的網路存取 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1303 - 使用者識別和驗證 |特殊許可權帳戶的本機存取權 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
非特殊權限帳戶的多重要素驗證
標識碼:NIST SP 800-53 Rev. 5 IA-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft 管理控件 1302 - 使用者識別和驗證 |對非特殊許可權帳戶的網路存取 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1304 - 使用者識別和驗證 |非特殊許可權帳戶的本機存取 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
使用群組驗證的個別驗證
標識碼:NIST SP 800-53 Rev. 5 IA-2 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1305 - 使用者識別和驗證 |群組驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
存取帳戶??? 重新執行耐葯
標識碼:NIST SP 800-53 Rev. 5 IA-2 (8) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1306 - 使用者識別和驗證 |特殊權限帳戶的網路存取 - 重新執行... | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1307 - 使用者識別和驗證 |對非特殊權限帳戶的網路存取 - 重新執行... | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
接受 PIV 認證
標識碼:NIST SP 800-53 Rev. 5 IA-2 (12) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1309 - 使用者識別和驗證 |接受 Piv 認證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
裝置識別和驗證
標識符:NIST SP 800-53 Rev. 5 IA-3 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1310 - 裝置識別和驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
識別碼管理
標識碼:NIST SP 800-53 Rev. 5 IA-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1311 - 標識符管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1312 - 標識符管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1313 - 標識符管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1314 - 標識符管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1315 - 標識符管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
識別使用者狀態
標識碼:NIST SP 800-53 Rev. 5 IA-4 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1316 - 標識符管理 |識別用戶狀態 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
驗證器管理
標識碼:NIST SP 800-53 Rev. 5 IA-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 1.0.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| Microsoft 管理控件 1317 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1318 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1319 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1320 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1321 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1322 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1323 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1324 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1325 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1326 - 驗證器管理 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
密碼式驗證
標識碼:NIST SP 800-53 Rev. 5 IA-5 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 1.3.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 1.4.0 |
| 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許在指定的唯一密碼數目之後重複使用密碼的 Windows 計算機,計算機即不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 1.1.0 |
| 稽核未將密碼最長有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期上限設定為指定的天數,則電腦不符合規範。 最大密碼存留期的預設值為70天 | AuditIfNotExists, Disabled | 1.1.0 |
| 稽核未將密碼最短有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼存留期下限設定為指定的天數,則電腦不符合規範。 最小密碼存留期的預設值為1天 | AuditIfNotExists, Disabled | 1.1.0 |
| 稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未將密碼長度下限限制為指定的字元數,則電腦不符合規範。 密碼長度下限的預設值為14個字元 | AuditIfNotExists, Disabled | 1.1.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 1.0.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.4.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| Microsoft 管理控件 1327 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1328 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1329 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1330 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1331 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1332 - 驗證器管理 |密碼型驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1338 - 驗證器管理 |自動支援密碼強度判斷 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
公開金鑰型驗證
標識碼:NIST SP 800-53 Rev. 5 IA-5 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1333 - 驗證器管理 |以 Pki 為基礎的驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1334 - 驗證器管理 |以 Pki 為基礎的驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1335 - 驗證器管理 |以 Pki 為基礎的驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1336 - 驗證器管理 |以 Pki 為基礎的驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
保護驗證器
標識碼:NIST SP 800-53 Rev. 5 IA-5 (6) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1339 - 驗證器管理 |驗證器保護 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
沒有內嵌的未加密靜態驗證器
標識碼:NIST SP 800-53 Rev. 5 IA-5 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1340 - 驗證器管理 |無內嵌未加密的靜態驗證器 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
多個系統帳戶
標識碼:NIST SP 800-53 Rev. 5 IA-5 (8) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1341 - 驗證器管理 |多個資訊系統帳戶 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
快取的驗證器到期
標識碼:NIST SP 800-53 Rev. 5 IA-5 (13) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1343 - 驗證器管理 |快取驗證器的到期日 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
驗證意見反應
標識碼:NIST SP 800-53 Rev. 5 IA-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1344 - 驗證器意見反應 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
密碼編譯模組驗證
標識碼:NIST SP 800-53 Rev. 5 IA-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1345 - 密碼編譯模塊驗證 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
識別與驗證 (非組織使用者)
標識碼:NIST SP 800-53 Rev. 5 IA-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1346 - 識別和驗證 (非組織使用者) | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
接受來自其他機構的 PIV 認證
標識碼:NIST SP 800-53 Rev. 5 IA-8 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1347 - 識別和驗證 (非組織使用者) |接受 Piv 認證... | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
接受外部驗證器
標識碼:NIST SP 800-53 Rev. 5 IA-8 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1348 - 識別和驗證 (非組織使用者) |接受第三方... | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1349 - 識別和驗證 (非組織使用者) |使用 Ficam 核准的產品 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
使用已定義設定檔
標識碼:NIST SP 800-53 Rev. 5 IA-8 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1350 - 識別和驗證 (非組織使用者) |使用 Ficam 發行的配置檔 | Microsoft 會實作此識別和驗證控件 | 稽核 | 1.0.0 |
事件回應
原則和程序
標識碼:NIST SP 800-53 Rev. 5 IR-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1351 - 事件響應原則和程式 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1352 - 事件響應原則和程式 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件回應訓練
標識碼:NIST SP 800-53 Rev. 5 IR-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1353 - 事件響應訓練 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1354 - 事件響應訓練 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1355 - 事件響應訓練 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
模擬的事件
標識碼:NIST SP 800-53 Rev. 5 IR-2 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1356 - 事件響應訓練 |模擬事件 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
自動化訓練環境
標識碼:NIST SP 800-53 Rev. 5 IR-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1357 - 事件響應訓練 |自動化訓練環境 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件回應測試
標識碼:NIST SP 800-53 Rev. 5 IR-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1358 - 事件響應測試 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
協調相關計劃
標識碼:NIST SP 800-53 Rev. 5 IR-3 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1359 - 事件響應測試 |與相關計劃的協調 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件處理
標識碼:NIST SP 800-53 Rev. 5 IR-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1360 - 事件處理 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1361 - 事件處理 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1362 - 事件處理 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
自動化事件處理流程
標識碼:NIST SP 800-53 Rev. 5 IR-4 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1363 - 事件處理 |自動化事件處理程式 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
動態重新組態
標識碼:NIST SP 800-53 Rev. 5 IR-4 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1364 - 事件處理 |動態重新設定 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
作業持續性
標識碼:NIST SP 800-53 Rev. 5 IR-4 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1365 - 事件處理 |作業的持續性 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
資訊相互關聯
標識碼:NIST SP 800-53 Rev. 5 IR-4 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1366 - 事件處理 |資訊相互關聯 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
內部威脅
標識碼:NIST SP 800-53 Rev. 5 IR-4 (6) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1367 - 事件處理 |測試人員威脅 - 特定功能 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
與外部組織相互關聯
標識碼:NIST SP 800-53 Rev. 5 IR-4 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1368 - 事件處理 |與外部組織的相互關聯 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件監視
標識碼:NIST SP 800-53 Rev. 5 IR-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1369 - 事件監視 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
自動化追蹤、數據收集和分析
標識碼:NIST SP 800-53 Rev. 5 IR-5 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1370 - 事件監視 |自動化追蹤/數據收集/分析 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件報告
標識碼:NIST SP 800-53 Rev. 5 IR-6 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1371 - 事件報告 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1372 - 事件報告 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
自動化報告
標識碼:NIST SP 800-53 Rev. 5 IR-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1373 - 事件報告 |自動化報告 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
與事件相關的弱點
標識碼:NIST SP 800-53 Rev. 5 IR-6 (2) 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
事件回應協助
標識碼:NIST SP 800-53 Rev. 5 IR-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1374 - 事件響應協助 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
資訊可用性的自動化支援及支援
標識碼:NIST SP 800-53 Rev. 5 IR-7 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1375 - 事件響應協助 |資訊/支援可用性的自動化支援 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
與外部提供者協調
標識碼:NIST SP 800-53 Rev. 5 IR-7 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1376 - 事件響應協助 |與外部提供者的協調 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1377 - 事件響應協助 |與外部提供者的協調 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
事件回應計劃
標識碼:NIST SP 800-53 Rev. 5 IR-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1378 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1379 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1380 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1381 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1382 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1383 - 事件響應計劃 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
資訊洩漏應對
標識碼:NIST SP 800-53 Rev. 5 IR-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1384 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1385 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1386 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1387 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1388 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1389 - 資訊洩漏回應 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1390 - 資訊洩漏回應 |責任人員 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
訓練
標識碼:NIST SP 800-53 Rev. 5 IR-9 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1391 - 資訊洩漏回應 |培訓 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
外洩後的作業
標識碼:NIST SP 800-53 Rev. 5 IR-9 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1392 - 資訊洩漏回應 |溢出後作業 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
向未經授權的人員公開
標識碼:NIST SP 800-53 Rev. 5 IR-9 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1393 - 資訊洩漏回應 |暴露在未經授權的人員 | Microsoft 會實作此事件回應控件 | 稽核 | 1.0.0 |
維護
原則和程序
標識碼:NIST SP 800-53 Rev. 5 MA-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1394 - 系統維護原則和程式 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1395 - 系統維護原則和程式 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
受控制維護
標識碼:NIST SP 800-53 Rev. 5 MA-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1396 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1397 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1398 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1399 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1400 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1401 - 受控維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
自動化維護活動
標識碼:NIST SP 800-53 Rev. 5 MA-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1402 - 受控維護 |自動化維護活動 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1403 - 受控維護 |自動化維護活動 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
維護工具
標識碼:NIST SP 800-53 Rev. 5 MA-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1404 - 維護工具 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
檢查工具
標識碼:NIST SP 800-53 Rev. 5 MA-3 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1405 - 維護工具 |檢查工具 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
檢查媒體
標識碼:NIST SP 800-53 Rev. 5 MA-3 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1406 - 維護工具 |檢查媒體 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
防止未經授權的移除
標識碼:NIST SP 800-53 Rev. 5 MA-3 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1407 - 維護工具 |防止未經授權的移除 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1408 - 維護工具 |防止未經授權的移除 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1409 - 維護工具 |防止未經授權的移除 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1410 - 維護工具 |防止未經授權的移除 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
非本機維護
標識碼:NIST SP 800-53 Rev. 5 MA-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1411 - 遠端維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1412 - 遠端維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1413 - 遠端維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1414 - 遠端維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1415 - 遠端維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
同等級的安全性及清理
標識碼:NIST SP 800-53 Rev. 5 MA-4 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1417 - 遠端維護 |可比較的安全性/清理 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1418 - 遠端維護 |可比較的安全性/清理 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
密碼編譯保護
標識碼:NIST SP 800-53 Rev. 5 MA-4 (6) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1419 - 遠端維護 |密碼編譯保護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
維護人員
標識碼:NIST SP 800-53 Rev. 5 MA-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1420 - 維護人員 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1421 - 維護人員 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1422 - 維護人員 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
不具適當存取權的個人
標識碼:NIST SP 800-53 Rev. 5 MA-5 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1423 - 維護人員 |沒有適當存取權的個人 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1424 - 維護人員 |沒有適當存取權的個人 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
及時維護
標識碼:NIST SP 800-53 Rev. 5 MA-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1425 - 及時維護 | Microsoft 會實作此維護控件 | 稽核 | 1.0.0 |
媒體保護
原則和程序
標識碼:NIST SP 800-53 Rev. 5 MP-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1426 - 媒體保護原則和程式 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1427 - 媒體保護原則和程式 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體存取
標識碼:NIST SP 800-53 Rev. 5 MP-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1428 - 媒體存取 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體標記
標識碼:NIST SP 800-53 Rev. 5 MP-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1429 - 媒體標籤 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1430 - 媒體標籤 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體儲存
標識碼:NIST SP 800-53 Rev. 5 MP-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1431 - 媒體 儲存體 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1432 - 媒體 儲存體 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體傳輸
標識碼:NIST SP 800-53 Rev. 5 MP-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1433 - 媒體傳輸 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1434 - 媒體傳輸 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1435 - 媒體傳輸 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1436 - 媒體傳輸 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體清理
標識碼:NIST SP 800-53 Rev. 5 MP-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1438 - 媒體清理和處置 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1439 - 媒體清理和處置 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
檢閱、核准、追蹤、紀錄及驗證
標識碼:NIST SP 800-53 Rev. 5 MP-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1440 - 媒體清理和處置 |檢閱/核准/追蹤/文件/驗證 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
設備測試
標識碼:NIST SP 800-53 Rev. 5 MP-6 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1441 - 媒體清理和處置 |設備測試 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
非破壞性技術
標識碼:NIST SP 800-53 Rev. 5 MP-6 (3) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1442 - 媒體清理和處置 |非破壞性技術 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
媒體使用
標識碼:NIST SP 800-53 Rev. 5 MP-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1443 - 媒體使用 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1444 - 媒體使用 |禁止在沒有擁有者的情況下使用 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
實體和環境保護
原則和程序
標識碼:NIST SP 800-53 Rev. 5 PE-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1445 - 實體和環境保護原則和程式 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1446 - 實體和環境保護原則和程式 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
實際存取授權
標識碼:NIST SP 800-53 Rev. 5 PE-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1447 - 實體存取授權 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1448 - 實體存取授權 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1449 - 實體存取授權 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1450 - 實體存取授權 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
實際存取控制措施
標識碼:NIST SP 800-53 Rev. 5 PE-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1451 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1452 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1453 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1454 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1455 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1456 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1457 - 實體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
系統存取
標識碼:NIST SP 800-53 Rev. 5 PE-3 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1458 - 實體 存取控制 |信息系統存取 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
傳輸的存取控制
標識碼:NIST SP 800-53 Rev. 5 PE-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1459 - 傳輸媒體 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
適用於輸出裝置的存取控制措施
標識碼:NIST SP 800-53 Rev. 5 PE-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制件 1460 - 輸出裝置 存取控制 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
監視實體存取
標識碼:NIST SP 800-53 Rev. 5 PE-6 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1461 - 監視實體存取 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1462 - 監視實體存取 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1463 - 監視實體存取 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
入侵警報及監視設備
標識碼:NIST SP 800-53 Rev. 5 PE-6 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1464 - 監視實體存取 |入侵警報器/監視設備 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
監視系統的實體存取
標識碼:NIST SP 800-53 Rev. 5 PE-6 (4) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1465 - 監視實體存取 |監視資訊系統的實體存取 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
訪客存取記錄
標識碼:NIST SP 800-53 Rev. 5 PE-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1466 - 訪客存取記錄 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1467 - 訪客存取記錄 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
自動化記錄維護和檢閱
標識碼:NIST SP 800-53 Rev. 5 PE-8 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1468 - 訪客存取記錄 |自動化記錄維護/檢閱 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
電源設備和纜線
標識碼:NIST SP 800-53 Rev. 5 PE-9 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制件 1469 - 電源設備和纜線 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
緊急關閉
標識碼:NIST SP 800-53 Rev. 5 PE-10 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1470 - 緊急關閉 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1471 - 緊急關閉 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1472 - 緊急關閉 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
緊急電源
標識碼:NIST SP 800-53 Rev. 5 PE-11 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1473 - 緊急電源 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
替代電源供應器??? 最少的作業功能
標識碼:NIST SP 800-53 Rev. 5 PE-11 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1474 - 緊急電源 |長期替代電源供應器 - 最低操作能力 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
緊急照明
標識碼:NIST SP 800-53 Rev. 5 PE-12 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1475 - 緊急照明 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
消防措施
標識碼:NIST SP 800-53 Rev. 5 PE-13 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1476 - 消防 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
偵測系統 自動啟用和通知
標識碼:NIST SP 800-53 Rev. 5 PE-13 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1477 - 消防 |偵測裝置/系統 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
滅火系統 自動啟用和通知
標識碼:NIST SP 800-53 Rev. 5 PE-13 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1478 - 消防 |隱藏裝置/系統 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1479 - 消防 |自動滅火 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
環境控制措施
標識碼:NIST SP 800-53 Rev. 5 PE-14 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1480 - 溫度和濕度控件 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1481 - 溫度和濕度控件 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
使用警示及通知進行監視
標識碼:NIST SP 800-53 Rev. 5 PE-14 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1482 - 溫度和濕度控件 |使用警示/通知監視 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
因水損毀的防護
標識碼:NIST SP 800-53 Rev. 5 PE-15 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1483 - 水損保護 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
自動化支援
標識碼:NIST SP 800-53 Rev. 5 PE-15 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1484 - 水損保護 |自動化支援 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
傳遞和移除
標識碼:NIST SP 800-53 Rev. 5 PE-16 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1485 - 傳遞和移除 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
備用工作場所
標識碼:NIST SP 800-53 Rev. 5 PE-17 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1486 - 替代工作網站 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1487 - 替代工作網站 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1488 - 替代工作網站 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
系統元件的位置
標識碼:NIST SP 800-53 Rev. 5 PE-18 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1489 - 資訊系統元件的位置 | Microsoft 會實作此實體和環境保護控件 | 稽核 | 1.0.0 |
規劃
原則和程序
標識碼:NIST SP 800-53 Rev. 5 PL-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1490 - 安全性規劃原則和程式 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1491 - 安全性規劃原則和程式 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
系統安全性和隱私權計畫
標識碼:NIST SP 800-53 Rev. 5 PL-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1492 - 系統安全性計劃 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1493 - 系統安全性計劃 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1494 - 系統安全性計劃 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1495 - 系統安全性計劃 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1496 - 系統安全性計劃 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1497 - 系統安全性計劃 |規劃/協調其他組織實體 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
行為規則
標識碼:NIST SP 800-53 Rev. 5 PL-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1498 - 行為規則 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1499 - 行為規則 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1500 - 行為規則 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1501 - 行為規則 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
社交媒體和外部網站/應用程式使用限制
標識碼:NIST SP 800-53 Rev. 5 PL-4 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1502 - 行為規則 |社交媒體和網路限制 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
安全性和隱私權架構
標識碼:NIST SP 800-53 Rev. 5 PL-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1503 - 資訊安全架構 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1504 - 資訊安全架構 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1505 - 資訊安全架構 | Microsoft 會實作此規劃控件 | 稽核 | 1.0.0 |
人員安全性
原則和程序
標識碼:NIST SP 800-53 Rev. 5 PS-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1506 - 人員安全策略和程式 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1507 - 人員安全策略和程式 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
職位風險指定
標識碼:NIST SP 800-53 Rev. 5 PS-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1508 - 位置分類 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1509 - 位置分類 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1510 - 位置分類 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
人員篩選
標識碼:NIST SP 800-53 Rev. 5 PS-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1511 - 人員篩選 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1512 - 人員篩選 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
需要特殊保護措施的資訊
標識碼:NIST SP 800-53 Rev. 5 PS-3 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1513 - 人員篩選 |具有特殊保護措施的資訊 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1514 - 人員篩選 |具有特殊保護措施的資訊 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
人員終止
標識碼:NIST SP 800-53 Rev. 5 PS-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1515 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1516 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1517 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1518 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1519 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1520 - 人員終止 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
自動化動作
標識碼:NIST SP 800-53 Rev. 5 PS-4 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1521 - 人員終止 |自動化通知 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
人員轉移
標識碼:NIST SP 800-53 Rev. 5 PS-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1522 - 人員轉移 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1523 - 人員轉移 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1524 - 人員轉移 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1525 - 人員轉移 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
存取協議
標識碼:NIST SP 800-53 Rev. 5 PS-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1526 - 存取協定 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1527 - 存取協定 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1528 - 存取協定 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
外部人員安全性
標識碼:NIST SP 800-53 Rev. 5 PS-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1529 - 第三方人員安全性 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1530 - 第三方人員安全性 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1531 - 第三方人員安全性 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1532 - 第三方人員安全性 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1533 - 第三方人員安全性 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
人員獎懲
標識碼:NIST SP 800-53 Rev. 5 PS-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1534 - 人員制裁 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1535 - 人員制裁 | Microsoft 會實作此人員安全性控制 | 稽核 | 1.0.0 |
風險評估
原則和程序
標識碼:NIST SP 800-53 Rev. 5 RA-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1536 - 風險評估原則和程式 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1537 - 風險評估原則和程式 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
安全性分類
標識碼:NIST SP 800-53 Rev. 5 RA-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1538 - 安全性分類 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1539 - 安全性分類 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1540 - 安全性分類 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
風險評估
標識碼:NIST SP 800-53 Rev. 5 RA-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1541 - 風險評估 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1542 - 風險評估 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1543 - 風險評估 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1544 - 風險評估 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1545 - 風險評估 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
弱點監視和掃描
標識碼:NIST SP 800-53 Rev. 5 RA-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1551 - 弱點掃描 |更新工具功能 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應修復虛擬機器擴展集上安全性組態的弱點 | 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評估的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
更新要掃描的弱點
標識碼:NIST SP 800-53 Rev. 5 RA-5 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1552 - 弱點掃描 |依頻率更新/在新掃描之前/識別時 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
涵蓋範圍和深度
標識碼:NIST SP 800-53 Rev. 5 RA-5 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1553 - 弱點掃描 |廣度/涵蓋深度 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
可探索的資訊
標識碼:NIST SP 800-53 Rev. 5 RA-5 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1554 - 弱點掃描 |可探索的資訊 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
特殊權限存取
標識碼:NIST SP 800-53 Rev. 5 RA-5 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1555 - 弱點掃描 |特殊許可權存取 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
自動化趨勢分析
標識碼:NIST SP 800-53 Rev. 5 RA-5 (6) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1556 - 弱點掃描 |自動化趨勢分析 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
檢閱歷史稽核記錄
標識碼:NIST SP 800-53 Rev. 5 RA-5 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1557 - 弱點掃描 |檢閱歷程記錄 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
將掃描資訊相互關聯
標識碼:NIST SP 800-53 Rev. 5 RA-5 (10) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1558 - 弱點掃描 |將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制件 | 稽核 | 1.0.0 |
系統和服務擷取
原則和程序
標識碼:NIST SP 800-53 Rev. 5 SA-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1559 - 系統與服務取得原則和程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1560 - 系統與服務取得原則和程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
資源配置
標識碼:NIST SP 800-53 Rev. 5 SA-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1561 - 資源配置 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1562 - 資源配置 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1563 - 資源配置 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
系統開發生命週期
標識碼:NIST SP 800-53 Rev. 5 SA-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1564 - 系統開發生命週期 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1565 - 系統開發生命週期 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1566 - 系統開發生命週期 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1567 - 系統開發生命週期 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
擷取程序
標識碼:NIST SP 800-53 Rev. 5 SA-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1568 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1569 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制件 1570 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1571 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1572 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1573 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1574 - 下載程式 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
控制項的功能屬性
標識碼:NIST SP 800-53 Rev. 5 SA-4 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1575 - 下載程式 |安全性控件的功能屬性 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
控制項的設計與實作資訊
標識碼:NIST SP 800-53 Rev. 5 SA-4 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1576 - 下載程式 |安全性控件的設計/實作資訊 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
控制項的連續監視計畫
標識碼:NIST SP 800-53 Rev. 5 SA-4 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1577 - 下載程序 |持續監視計畫 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
使用中的功能、連接埠、通訊協定及服務
標識碼:NIST SP 800-53 Rev. 5 SA-4 (9) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1578 - 下載程序 |函式/埠/通訊協定/使用中的服務 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
使用核准的 PIV 產品
標識碼:NIST SP 800-53 Rev. 5 SA-4 (10) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1579 - 下載程序 |使用已核准的 Piv 產品 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
系統文件
標識碼:NIST SP 800-53 Rev. 5 SA-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1580 - 資訊系統檔 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1581 - 資訊系統檔 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1582 - 資訊系統檔 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1583 - 資訊系統檔 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1584 - 資訊系統檔 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
安全性和隱私權工程原則
標識碼:NIST SP 800-53 Rev. 5 SA-8 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1585 - 安全性工程原則 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
外部系統服務
標識碼:NIST SP 800-53 Rev. 5 SA-9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1586 - 外部資訊系統服務 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1587 - 外部資訊系統服務 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1588 - 外部資訊系統服務 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
風險評估及組織核准
標識碼:NIST SP 800-53 Rev. 5 SA-9 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1589 - 外部資訊系統服務 |風險評估/組織 核准 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1590 - 外部資訊系統服務 |風險評估/組織 核准 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
功能、連接埠、通訊協定及服務的識別
標識碼:NIST SP 800-53 Rev. 5 SA-9 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1591 - 外部資訊系統服務 |函式/埠/通訊協定的識別... | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
取用者和提供者的利益一致
標識碼:NIST SP 800-53 Rev. 5 SA-9 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1592 - 外部資訊系統服務 |消費者和提供者的一致興趣 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
處理、儲存及服務位置
標識碼:NIST SP 800-53 Rev. 5 SA-9 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1593 - 外部資訊系統服務 |處理、儲存體和服務位置 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
開發人員組態管理
標識碼:NIST SP 800-53 Rev. 5 SA-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1594 - 開發人員設定管理 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員設定管理 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員設定管理 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員設定管理 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員設定管理 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
軟體及韌體完整性驗證
標識碼:NIST SP 800-53 Rev. 5 SA-10 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1599 - 開發人員設定管理 |軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
開發人員測試與評估
標識碼:NIST SP 800-53 Rev. 5 SA-11 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1600 - 開發人員安全性測試和評估 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制件 1601 - 開發人員安全性測試和評估 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1602 - 開發人員安全性測試和評估 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1603 - 開發人員安全性測試和評估 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1604 - 開發人員安全性測試和評估 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
靜態程式碼分析
標識碼:NIST SP 800-53 Rev. 5 SA-11 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1605 - 開發人員安全性測試和評估 |靜態程式代碼分析 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
威脅模型化和弱點分析
標識碼:NIST SP 800-53 Rev. 5 SA-11 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1606 - 開發人員安全性測試和評估 |威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
動態程序代碼分析
標識碼:NIST SP 800-53 Rev. 5 SA-11 (8) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1607 - 開發人員安全性測試和評估 |動態程序代碼分析 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
開發程序、標準和工具
標識碼:NIST SP 800-53 Rev. 5 SA-15 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1609 - 開發程式、標準和工具 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1610 - 開發程式、標準和工具 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
開發人員提供的定型
標識碼:NIST SP 800-53 Rev. 5 SA-16 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制件 1611 - 開發人員提供的訓練 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
開發人員安全性與隱私權架構與設計
標識碼:NIST SP 800-53 Rev. 5 SA-17 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1612 - 開發人員安全性架構與設計 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1613 - 開發人員安全性架構和設計 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1614 - 開發人員安全性架構與設計 | Microsoft 會實作此系統和服務擷取控件 | 稽核 | 1.0.0 |
系統與通訊保護
原則和程序
標識碼:NIST SP 800-53 Rev. 5 SC-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1615 - 系統與通訊保護原則和程式 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1616 - 系統與通訊保護原則和程式 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
系統與使用者功能的區隔
標識碼:NIST SP 800-53 Rev. 5 SC-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1617 - 應用程式分割 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
安全性功能隔離
標識碼:NIST SP 800-53 Rev. 5 SC-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1618 - 安全性函式隔離 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 1.1.1 |
共用系統資源中的資訊
標識碼:NIST SP 800-53 Rev. 5 SC-4 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1619 - 共用資源中的資訊 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
阻斷服務保護
標識碼:NIST SP 800-53 Rev. 5 SC-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該啟用 Azure DDoS 保護 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1620 - 拒絕服務保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
資源可用性
標識碼:NIST SP 800-53 Rev. 5 SC-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1621 - 資源可用性 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
界限保護
標識碼:NIST SP 800-53 Rev. 5 SC-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| Kubernetes Services 上應定義授權 IP 範圍 | 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 | Audit, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應停用公用網路存取 | 停用公用網路存取可確保 Azure 認知搜尋服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您搜尋服務的曝光。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 及 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1622 - 界限保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1623 - 界限保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1624 - 界限保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
存取點
標識碼:NIST SP 800-53 Rev. 5 SC-7 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| Kubernetes Services 上應定義授權 IP 範圍 | 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 | Audit, Disabled | 2.0.0 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用支援私人連結的 SKU | 使用支援 Azure 認知搜尋的 SKU,Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到您的搜尋服務,就能降低資料外洩的風險。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應停用公用網路存取 | 停用公用網路存取可確保 Azure 認知搜尋服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您搜尋服務的曝光。 深入了解:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 認知搜尋服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure 認知搜尋,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/azure-cognitive-search/inbound-private-endpoints。 | Audit, Disabled | 1.0.0 |
| Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.0.0 |
| Azure Data Factory 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 Azure Data Factory,就能降低資料外洩的風險。 深入了解私人連結:https://docs.microsoft.com/azure/data-factory/data-factory-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 檔案同步應使用私人連結 | 為指定的儲存體同步服務資源建立私人端點,可讓您從組織網路的私人 IP 位址空間中定址儲存體同步服務資源,而非透過網際網路存取的公用端點。 建立私人端點並不會停用公用端點。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 1.4.1 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure 服務匯流排命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到服務匯流排命名空間,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/service-bus-messaging/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Synapse 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure Synapse 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links。 | Audit, Disabled | 1.0.1 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 及 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 磁碟存取資源應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 diskAccesses,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/disksprivatelinksdoc。 | AuditIfNotExists, Disabled | 1.0.0 |
| 事件中樞命名空間應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至事件中樞命名空間,可降低資料洩漏風險。 深入了解:https://docs.microsoft.com/azure/event-hubs/private-link-service。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| IoT 中樞裝置佈建服務執行個體應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應到 IoT 中樞裝置佈建服務,就能降低資料外洩的風險。 深入了解私人連結:https://aka.ms/iotdpsvnet。 | Audit, Disabled | 1.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1625 - 界限保護 |存取點 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
外部電信服務
標識碼:NIST SP 800-53 Rev. 5 SC-7 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1626 - 界限保護 |外部電信服務 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1627 - 界限保護 |外部電信服務 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1628 - 界限保護 |外部電信服務 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1629 - 界限保護 |外部電信服務 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1630 - 界限保護 |外部電信服務 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
預設拒絕??? 允許例外狀況
標識碼:NIST SP 800-53 Rev. 5 SC-7 (5) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1155 - 系統相互連線 |外部系統 連線 限制 | Microsoft 會實作此安全性評定和授權控制 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1631 - 界限保護 |默認拒絕/允許例外狀況 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
遠端裝置的分割通道
標識碼:NIST SP 800-53 Rev. 5 SC-7 (7) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1632 - 界限保護 |防止遠端裝置的分割通道 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
將流量路由傳送到已驗證的 Proxy 伺服器
標識碼:NIST SP 800-53 Rev. 5 SC-7 (8) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1633 - 界限保護 |將流量路由傳送至已驗證的 Proxy 伺服器 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
防止外洩
標識碼:NIST SP 800-53 Rev. 5 SC-7 (10) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1634 - 界限保護 |防止未經授權的外洩 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
主機型保護
標識碼:NIST SP 800-53 Rev. 5 SC-7 (12) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1635 - 界限保護 |主機型保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
隔離安全性工具、機制和支援元件
標識碼:NIST SP 800-53 Rev. 5 SC-7 (13) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1636 - 界限保護 |隔離安全性工具/機制/支援元件 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
保護失敗
標識碼:NIST SP 800-53 Rev. 5 SC-7 (18) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1637 - 界限保護 |失敗安全 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
動態隔離和隔離
標識碼:NIST SP 800-53 Rev. 5 SC-7 (20) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1638 - 界限保護 |動態隔離/隔離 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
系統元件的隔離
標識碼:NIST SP 800-53 Rev. 5 SC-7 (21) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1639 - 界限保護 |信息系統元件的隔離 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
傳輸機密性和完整性
標識碼:NIST SP 800-53 Rev. 5 SC-8 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Azure HDInsight 叢集在傳輸時應使用加密,對 Azure HDInsight 叢集節點之間的通訊進行加密 | 在 Azure HDInsight 叢集節點之間傳輸期間,資料可能會遭到竄改。 啟用傳輸中加密可解決在此傳輸期間誤用和竄改的問題。 | Audit, Deny, Disabled | 1.0.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
| Microsoft 管理控件 1640 - 傳輸機密性和完整性 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| Windows 機器應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應該使用最新版的業界標準密碼編譯通訊協定、傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 3.0.1 |
密碼編譯保護
標識碼:NIST SP 800-53 Rev. 5 SC-8 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Azure HDInsight 叢集在傳輸時應使用加密,對 Azure HDInsight 叢集節點之間的通訊進行加密 | 在 Azure HDInsight 叢集節點之間傳輸期間,資料可能會遭到竄改。 啟用傳輸中加密可解決在此傳輸期間誤用和竄改的問題。 | Audit, Deny, Disabled | 1.0.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
| Microsoft 管理控件 1641 - 傳輸機密性和完整性 |密碼編譯或替代實體保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| Windows 機器應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的機器應該使用最新版的業界標準密碼編譯通訊協定、傳輸層安全性 (TLS)。 TLS 會藉由加密機器之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 3.0.1 |
網路中斷連線
標識碼:NIST SP 800-53 Rev. 5 SC-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1642 - 網路中斷連線 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
密碼編譯金鑰的建立和管理
標識碼:NIST SP 800-53 Rev. 5 SC-12 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:IoT 中樞裝置佈建服務資料應使用客戶自控金鑰 (CMK) 進行加密 | 使用客戶自控金鑰來管理 IoT 中樞裝置佈建服務的待用加密。 會使用服務代控金鑰進行待用加密,但若要遵循法規標準,通常需要有客戶自控金鑰 (CMK)。 CMK 可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 在 https://aka.ms/dps/CMK 深入了解 CMK 加密。 | Audit, Deny, Disabled | 1.0.0-preview |
| Azure 自動化帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure 自動化帳戶的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/automation-cmk。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Batch 帳戶應使用客戶自控金鑰加密資料 | 使用客戶自控金鑰來管理 Batch 帳戶資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/Batch-CMK。 | Audit, Deny, Disabled | 1.0.1 |
| Azure 容器執行個體容器群組應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的容器。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | 稽核、停用、拒絕 | 1.0.0 |
| Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/cosmosdb-cmk。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure 資料箱作業應使用客戶自控金鑰加密裝置解除鎖定密碼 | 使用客戶自控金鑰控制 Azure 資料箱的裝置解除鎖定密碼加密。 客戶自控金鑰也有助於管理資料箱服務對裝置解除鎖定密碼的存取權,以便準備裝置並自動複製資料。 裝置本身上的資料已使用進階加密標準 256 位加密進行待用加密,而裝置解除鎖定密碼預設會使用 Microsoft 受控金鑰加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 資料總管待用加密應使用客戶自控金鑰 | 在 Azure 資料總管叢集上使用客戶自控金鑰來啟用待用加密,可讓您進一步控制待用加密所使用的金鑰。 這項功能通常適用於具有特殊合規性需求的客戶,而且需要 Key Vault 來管理金鑰。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 資料處理站應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理 Azure Data Factory 的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/adf-cmk。 | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight 叢集應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure HDInsight 叢集的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/hdi.cmk。 | Audit, Deny, Disabled | 1.0.1 |
| Azure HDInsight 叢集應使用主機加密來加密待用資料 | 啟用主機上的加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 當您啟用主機上的加密時,儲存在 VM 主機上的資料會在待用時加密,並將流量加密至儲存體服務。 | Audit, Deny, Disabled | 1.0.0 |
| 應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.0.3 |
| Azure 監視器記錄叢集應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰加密建立 Azure 監視器記錄叢集。 依預設,記錄資料會使用服務代控金鑰進行加密,但若要遵循法規,通常需要有客戶自控金鑰。 Azure 監視器中的客戶自控金鑰可讓您更充分掌控資料的存取權,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure 串流分析作業應使用客戶自控金鑰來加密資料 | 要將串流分析作業的任何中繼資料和私人資料資產安全地儲存在儲存體帳戶中時,請使用客戶自控金鑰。 這可讓您完全控管串流分析資料的加密方式。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure Synapse 工作區應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來控制 Azure Synapse 工作區中所儲存資料的待用加密。 客戶管理的金鑰會在使用服務管理的金鑰完成的預設加密以外新增第二層加密,來提供雙重加密。 | Audit, Deny, Disabled | 1.0.0 |
| Bot Service 應使用客戶自控金鑰進行加密 | Azure Bot Service 會自動加密您的資源,以保護您的資料,並符合組織安全性和合規性承諾。 依預設,系統會使用 Microsoft 代控加密金鑰。 若要在管理金鑰或控制訂用帳戶存取權方面有更大的彈性,請選取客戶自控金鑰,也稱為攜帶您自己的金鑰 (BYOK)。 深入了解 Azure Bot Service 加密:https://docs.microsoft.com/azure/bot-service/bot-service-encryption。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure Kubernetes Service 叢集中的作業系統和資料磁碟都應該使用客戶自控金鑰加密 | 使用客戶自控金鑰加密 OS 和資料磁碟,可在金鑰管理方面提供更大的控制能力和彈性。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
| 認知服務帳戶應使用客戶自控金鑰來啟用資料加密 | 客戶自控金鑰通常需要符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密儲存在認知服務中的資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解客戶自控金鑰:https://go.microsoft.com/fwlink/?linkid=2121321。 | Audit, Deny, Disabled | 2.1.0 |
| 容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
| 事件中樞命名空間應使用客戶自控金鑰進行加密 | Azure 事件中樞支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷事件中樞將用來加密命名空間中資料的金鑰存取權。 請注意,事件中樞僅支援使用客戶自控金鑰來加密專用叢集中的命名空間。 | Audit, Disabled | 1.0.0 |
| Logic Apps 整合服務環境應使用客戶自控金鑰進行加密 | 部署至整合服務環境,以使用客戶自控金鑰來管理 Logic Apps 資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | Audit, Deny, Disabled | 1.0.0 |
| 受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
| Microsoft 管理控件 1643 - 密碼編譯密鑰建立和管理 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| OS 和資料磁碟應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰來管理受控磁碟內容的待用加密。 依預設,資料會使用平台代控金鑰進行待用加密,但若要遵循法規,通常需要有客戶自控金鑰。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/disks-cmk。 | Audit, Deny, Disabled | 3.0.0 |
| Azure 監視器中儲存的查詢,應儲存在客戶儲存體帳戶中,以進行記錄加密 | 將儲存體帳戶連結至 Log Analytics 工作區,以使用儲存體帳戶加密來保護已儲存的查詢。 客戶自控金鑰通常需要符合法規合規性,並進一步控制 Azure 監視器中已儲存查詢的存取權。 如需上述項目的詳細資料,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| 服務匯流排進階命名空間應使用客戶自控金鑰進行加密 | Azure 服務匯流排支援使用 Microsoft 代控金鑰 (預設) 或客戶自控金鑰來加密待用資料的選項。 選擇使用客戶自控金鑰來加密資料,可讓您指派、輪替、停用及撤銷服務匯流排將用來加密命名空間中資料的金鑰存取權。 請注意,服務匯流排僅支援使用客戶自控金鑰來加密進階命名空間。 | Audit, Disabled | 1.0.0 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
| 儲存體帳戶加密範圍應使用客戶自控金鑰來加密待用資料 | 使用客戶自控金鑰來管理儲存體帳戶加密範圍的待用加密。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 若要深入了解儲存體帳戶加密範圍,請參閱https://aka.ms/encryption-scopes-overview。 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
可用性
標識碼:NIST SP 800-53 Rev. 5 SC-12 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1644 - 密碼編譯密鑰建立和管理 |可用性 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
對稱金鑰
標識碼:NIST SP 800-53 Rev. 5 SC-12 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1645 - 密碼編譯密鑰建立和管理 |對稱金鑰 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
非對稱金鑰
標識碼:NIST SP 800-53 Rev. 5 SC-12 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1646 - 密碼編譯密鑰建立和管理 |非對稱金鑰 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
密碼編譯保護
標識碼:NIST SP 800-53 Rev. 5 SC-13 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1647 - 使用密碼編譯 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
共同運算裝置和應用程式
標識碼:NIST SP 800-53 Rev. 5 SC-15 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1648 - 共同作業運算裝置 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1649 - 共同作業運算裝置 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
公開金鑰基礎結構憑證
標識碼:NIST SP 800-53 Rev. 5 SC-17 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1650 - 公鑰基礎結構憑證 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
行動程式碼
標識碼:NIST SP 800-53 Rev. 5 SC-18 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1651 - 行動程序代碼 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1652 - 行動程序代碼 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1653 - 行動程序代碼 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
安全的名稱/位址解析服務 (權威來源)
標識碼:NIST SP 800-53 Rev. 5 SC-20 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1656 - 安全名稱/位址解析服務 (授權來源) | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1657 - 安全名稱/位址解析服務 (授權來源) | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
安全的名稱/位址解析服務 (遞迴或快取解析程式)
標識碼:NIST SP 800-53 Rev. 5 SC-21 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1658 - 安全名稱/位址解析服務 (遞歸或快取解析程式) | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
名稱/位址解析服務的架構和佈建
標識碼:NIST SP 800-53 Rev. 5 SC-22 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1659 - 名稱/位址解析服務的架構和布建 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
工作階段真確性
標識碼:NIST SP 800-53 Rev. 5 SC-23 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1660 - 會話真實性 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
登出時使工作階段識別碼失效
標識碼:NIST SP 800-53 Rev. 5 SC-23 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1661 - 會話真實性 |在註銷時使會話標識碼失效 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
在已知狀態失敗
標識碼:NIST SP 800-53 Rev. 5 SC-24 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1662 - 處於已知狀態失敗 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
待用資訊的保護
標識碼:NIST SP 800-53 Rev. 5 SC-28 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 環境應啟用內部加密 | 將 InternalEncryption 設定為 True,會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。 若要深入了解,請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit, Disabled | 1.0.1 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 監視器記錄叢集應在啟用基礎結構加密的情況下建立 (雙重加密) | 為了確保使用兩個不同的加密演算法和兩個不同的金鑰,在服務層級和基礎結構層級啟用安全資料加密,請使用 Azure 監視器專用叢集。 在區域支援時,預設會啟用此選項,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure Stack Edge 裝置應該使用雙重加密 | 若要保護裝置上待用的資料,請確定其已雙重加密並已控制對資料的存取,以及在裝置停用之後,會安全地從資料磁碟清除資料。 雙重加密是使用兩個層級的加密:資料磁碟區上的 BitLocker XTS-AES 256 位元加密,以及硬碟的內建加密。 若要深入了解,請參閱特定Stack Edge 裝置的安全性概觀文件。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| 應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
| 應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
| Microsoft 管理控件 1663 - 待用信息保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
| 在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 為了增強資料安全性,儲存在 Azure Kubernetes Service 節點 VM 的虛擬機器 (VM) 主機上的資料,應該進行待用加密。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
密碼編譯保護
標識碼:NIST SP 800-53 Rev. 5 SC-28 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 環境應啟用內部加密 | 將 InternalEncryption 設定為 True,會讓 App Service 環境中前端與背景工作角色之間的分頁檔、背景工作角色磁碟和內部網路流量加密。 若要深入了解,請參閱 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit, Disabled | 1.0.1 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| Azure 資料箱作業應針對裝置上的待用資料啟用雙重加密 | 針對裝置上的待用資料啟用軟體型的第二層加密。 裝置已透過進階加密標準的 256 位加密來保護待用資料。 此選項會新增第二層資料加密。 | Audit, Deny, Disabled | 1.0.0 |
| Azure 監視器記錄叢集應在啟用基礎結構加密的情況下建立 (雙重加密) | 為了確保使用兩個不同的加密演算法和兩個不同的金鑰,在服務層級和基礎結構層級啟用安全資料加密,請使用 Azure 監視器專用叢集。 在區域支援時,預設會啟用此選項,請參閱 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| Azure Stack Edge 裝置應該使用雙重加密 | 若要保護裝置上待用的資料,請確定其已雙重加密並已控制對資料的存取,以及在裝置停用之後,會安全地從資料磁碟清除資料。 雙重加密是使用兩個層級的加密:資料磁碟區上的 BitLocker XTS-AES 256 位元加密,以及硬碟的內建加密。 若要深入了解,請參閱特定Stack Edge 裝置的安全性概觀文件。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| 應該在 Azure 資料總管上啟用磁碟加密 | 啟用磁碟加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 | Audit, Deny, Disabled | 2.0.0 |
| 應該在 Azure 資料總管上啟用雙重加密 | 啟用雙重加密可協助保護資料安全,以符合貴組織安全性和合規性承諾。 啟用雙重加密時,儲存體帳戶中的資料會加密兩次;一次在服務層級,一次在基礎結構層級,且會使用兩個不同的加密演算法和兩個不同的金鑰。 | Audit, Deny, Disabled | 2.0.0 |
| Microsoft 管理控件 1437 - 媒體傳輸 |密碼編譯保護 | Microsoft 會實作此媒體保護控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1664 - 待用信息保護 |密碼編譯保護 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
| 在 Azure Kubernetes Service 叢集內,代理程式節點集區的暫存磁碟及快取應在主機上加密 | 為了增強資料安全性,儲存在 Azure Kubernetes Service 節點 VM 的虛擬機器 (VM) 主機上的資料,應該進行待用加密。 這是許多法規和業界合規性標準的常見需求。 | Audit, Deny, Disabled | 1.0.1 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
程序隔離
標識碼:NIST SP 800-53 Rev. 5 SC-39 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1665 - 進程隔離 | Microsoft 會實作此系統和通訊保護控件 | 稽核 | 1.0.0 |
系統和資訊完整性
原則和程序
標識碼:NIST SP 800-53 Rev. 5 SI-1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1666 - 系統與資訊完整性原則和程式 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1667 - 系統與資訊完整性原則和程式 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
瑕疵補救
標識碼:NIST SP 800-53 Rev. 5 SI-2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本,以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946 | Audit, Disabled | 1.0.2 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1668 - 瑕疵補救 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1669 - 瑕疵補救 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1670 - 瑕疵補救 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1671 - 瑕疵補救 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 應在虛擬機器擴展集上安裝系統更新 | 稽核是否遺漏了任何應安裝的系統安全性更新和重大更新,以確保您的 Windows 及 Linux 虛擬機器擴展集安全無虞。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應修復虛擬機器擴展集上安全性組態的弱點 | 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 | AuditIfNotExists, Disabled | 3.0.0 |
自動化瑕疵補救狀態
標識碼:NIST SP 800-53 Rev. 5 SI-2 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1673 - 瑕疵補救 |自動化瑕疵補救狀態 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
修正錯誤及修正動作基準的時間
標識碼:NIST SP 800-53 Rev. 5 SI-2 (3) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1674 - 瑕疵補救 |補救修正動作的瑕疵/基準檢驗時間 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1675 - 瑕疵補救 |補救修正動作的瑕疵/基準檢驗時間 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
移除先前版本的軟體和韌體
標識碼:NIST SP 800-53 Rev. 5 SI-2 (6) 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| Kubernetes 服務應升級為不易受攻擊的 Kubernetes 版本 | 將您的 Kubernetes 服務叢集升級為較新的 Kubernetes 版本,以防禦您目前 Kubernetes 版本中的已知弱點。 Kubernetes 版本 1.11.9 +、1.12.7+、1.13.5+ 及 1.14.0+ 中已修補弱點 CVE-2019-9946 | Audit, Disabled | 1.0.2 |
惡意程式碼防護
標識碼:NIST SP 800-53 Rev. 5 SI-3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft 管理控件 1676 - 惡意代碼保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1677 - 惡意代碼保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1678 - 惡意代碼保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1679 - 惡意代碼保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1681 - 惡意代碼保護 |自動 更新 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1682 - 惡意代碼保護 |以非符號為基礎的偵測 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 1.1.1 |
系統監視
標識碼:NIST SP 800-53 Rev. 5 SI-4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 4.0.1-preview |
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.2 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
| Microsoft 管理控件 1683 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1684 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1685 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1686 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1687 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1688 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1689 - 資訊系統監視 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
全系統入侵檢測系統
標識碼:NIST SP 800-53 Rev. 5 SI-4 (1) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1690 - 信息系統監視 |全系統入侵檢測系統 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
即時分析的自動化工具和機制
標識碼:NIST SP 800-53 Rev. 5 SI-4 (2) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1691 - 信息系統監視 |用於即時分析的自動化工具 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
輸入和輸出通訊流量
標識碼:NIST SP 800-53 Rev. 5 SI-4 (4) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1692 - 信息系統監視 |輸入和輸出通訊流量 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
系統產生的警示
標識碼:NIST SP 800-53 Rev. 5 SI-4 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1693 - 信息系統監視 |系統產生的警示 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
分析通訊流量異常
標識碼:NIST SP 800-53 Rev. 5 SI-4 (11) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1694 - 信息系統監視 |分析通訊流量異常 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
自動化組織產生的警示
標識碼:NIST SP 800-53 Rev. 5 SI-4 (12) 擁有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
無線入侵偵測
標識碼:NIST SP 800-53 Rev. 5 SI-4 (14) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1695 - 信息系統監視 |無線入侵檢測 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
將監視資訊相互關聯
標識碼:NIST SP 800-53 Rev. 5 SI-4 (16) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1696 - 信息系統監視 |將監視資訊相互關聯 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
分析流量和秘密外洩
標識碼:NIST SP 800-53 Rev. 5 SI-4 (18) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1697 - 信息系統監視 |分析流量/秘密外洩 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
個人的風險
標識碼:NIST SP 800-53 Rev. 5 SI-4 (19) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1698 - 信息系統監視 |個人冒更大的風險 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
具權限的使用者
標識碼:NIST SP 800-53 Rev. 5 SI-4 (20) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1699 - 資訊系統監視 |特殊許可權使用者 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
未經授權的網路服務
標識碼:NIST SP 800-53 Rev. 5 SI-4 (22) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1700 - 資訊系統監視 |未經授權的網路服務 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
主機型裝置
標識碼:NIST SP 800-53 Rev. 5 SI-4 (23) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1701 - 信息系統監視 |主機型裝置 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
入侵指標
標識碼:NIST SP 800-53 Rev. 5 SI-4 (24) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1702 - 信息系統監視 |入侵指標 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
安全性警示、建議及指示
標識碼:NIST SP 800-53 Rev. 5 SI-5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1703 - 安全性警示與諮詢 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1704 - 安全性警示與諮詢 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1705 - 安全性警示與諮詢 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1706 - 安全性警示和諮詢 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
自動化警示與諮詢
標識碼:NIST SP 800-53 Rev. 5 SI-5 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1707 - 安全性警示和諮詢 |自動化警示與諮詢 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
安全性與隱私權功能驗證
標識碼:NIST SP 800-53 Rev. 5 SI-6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1708 - 安全性功能驗證 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1709 - 安全性功能驗證 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1710 - 安全性功能驗證 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1711 - 安全性功能驗證 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
軟體、韌體及資訊完整性
標識碼:NIST SP 800-53 Rev. 5 SI-7 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1712 - 軟體與資訊完整性 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
完整性檢查
標識碼:NIST SP 800-53 Rev. 5 SI-7 (1) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1713 - 軟體與資訊完整性 |完整性檢查 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
完整性違規的自動化通知
標識碼:NIST SP 800-53 Rev. 5 SI-7 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1714 - 軟體與資訊完整性 |完整性違規的自動化通知 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
自動化完整性違規回應
標識碼:NIST SP 800-53 Rev. 5 SI-7 (5) 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1715 - 軟體與資訊完整性 |自動回應完整性違規 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
偵測和回應的整合
標識碼:NIST SP 800-53 Rev. 5 SI-7 (7) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1716 - 軟體與資訊完整性 |偵測和回應的整合 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
垃圾郵件保護
標識碼:NIST SP 800-53 Rev. 5 SI-8 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1719 - 垃圾郵件保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控件 1720 - 垃圾郵件保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
自動更新
標識碼:NIST SP 800-53 Rev. 5 SI-8 (2) 擁有權:Microsoft
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1722 - 垃圾郵件保護 |自動 更新 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
資訊輸入驗證
標識碼:NIST SP 800-53 Rev. 5 SI-10 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1723 - 資訊輸入驗證 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
錯誤處理
標識碼:NIST SP 800-53 Rev. 5 SI-11 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控制項 1724 - 錯誤處理 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1725 - 錯誤處理 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
資訊管理和保留
標識碼:NIST SP 800-53 Rev. 5 SI-12 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Microsoft 管理控件 1726 - 資訊輸出處理和保留 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
記憶體保護
標識碼:NIST SP 800-53 Rev. 5 SI-16 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft 管理控件 1727 - 記憶體保護 | Microsoft 會實作此系統和資訊完整性控件 | 稽核 | 1.0.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 1.1.1 |
後續步驟
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。