適用於 Azure 監視器的 Azure 原則 法規合規性控制
Azure 原則中的法規合規性可針對與不同合規性標準相關的合規性網域和安全性控制,提供 Microsoft 建立和管理的方案定義 (稱為「內建項目」)。 此頁面列出 Azure 監視器的 合規性網域 和安全性 控制 。 您可以針對安全性控制個別指派內建項目,以協助讓您的 Azure 資源符合特定標準的規範。
每個內建原則定義的標題都會連結到 Azure 入口網站中的原則定義。 使用 [原則版本] 資料行中的連結來查看 Azure 原則 GitHub 存放庫上的來源。
重要
每個控制項都與一或多個 Azure 原則定義建立關聯。 這些原則可協助您評估控制項的合規性。 然而,控制項與一或多個原則之間通常不是一對一相符或完全相符。 因此,Azure 原則中的符合規範僅指原則本身。 這不保證您完全符合控制項的所有要求。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 這些合規性標準的控制項與 Azure 原則法規合規性定義之間的關聯,可能會隨著時間而改變。
澳大利亞政府受保護的 ISM
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 澳洲政府 ISM 保護藍圖。 如需此合規性標準的詳細資訊,請參閱澳洲政府 ISM 保護藍圖。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 系統監視指導方針 - 事件記錄檔和稽核 | 582 | 要記錄的事件 - 582 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 系統監視指導方針 - 事件記錄檔和稽核 | 1537 | 要記錄的事件 - 1537 | 稽核所選資源類型的診斷設定 | 2.0.1 |
加拿大聯邦 PBMM
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 加拿大聯邦 PBMM。 如需此合規性標準的詳細資訊,請參閱加拿大聯邦 PBMM。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | AU-5 | 稽核處理失敗時的回應 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 稽核和責任 | AU-12 | 稽核產生 | 稽核所選資源類型的診斷設定 | 2.0.1 |
CIS Microsoft Azure Foundations Benchmark 1.1.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.1.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 記錄和監視 | 5.1.1 | 確定記錄設定檔存在 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 5 記錄和監視 | 5.1.2 | 確定 [活動記錄保留] 會設定為 365 天或更長天數 | 活動記錄至少應保留一年 | 1.0.0 |
| 5 記錄和監視 | 5.1.3 | 確定稽核設定檔會擷取所有活動 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 5 記錄和監視 | 5.1.4 | 確定記錄設定檔會擷取所有區域 (包括全球) 的活動記錄 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 5 記錄和監視 | 5.1.6 | 確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 5 記錄和監視 | 5.1.7 | 確定 Azure KeyVault 的記錄是 [已啟用] | 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 1.1.0 |
| 5 記錄和監視 | 5.1.7 | 確定 Azure KeyVault 的記錄是 [已啟用] | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.2.1 | 確定建立原則指派的活動記錄警示是否存在 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5 記錄和監視 | 5.2.2 | 確定建立或更新網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.3 | 確定刪除網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.4 | 確定建立或更新網路安全性群組規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.5 | 確定刪除網路安全性群組規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.6 | 確定建立或更新安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.7 | 確定刪除安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.8 | 確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.9 | 確定更新安全性原則的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CIS Microsoft Azure 基礎基準測試 1.3.0。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 記錄和監視 | 5.1.4 | 確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 5 記錄和監視 | 5.1.5 | 確定 Azure KeyVault 的記錄是 [已啟用] | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.2.1 | 確定建立原則指派的活動記錄警示是否存在 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5 記錄和監視 | 5.2.2 | 確保刪除原則指派存有活動記錄警示 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5 記錄和監視 | 5.2.3 | 確定建立或更新網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.4 | 確定刪除網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.5 | 確定建立或更新網路安全性群組規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.6 | 確定刪除網路安全性群組規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.7 | 確定建立或更新安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.8 | 確定刪除安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.9 | 確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確定支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v1.4.0 的 Azure 原則法規合規性詳細資料。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5 記錄和監視 | 5.1.4 | 確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 5 記錄和監視 | 5.1.5 | 確定 Azure KeyVault 的記錄是 [已啟用] | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.2.1 | 確定建立原則指派的活動記錄警示是否存在 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5 記錄和監視 | 5.2.2 | 確保刪除原則指派存有活動記錄警示 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5 記錄和監視 | 5.2.3 | 確定建立或更新網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.4 | 確定刪除網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.5 | 確定建立或更新網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.6 | 確定刪除網路安全性群組規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.7 | 確定建立或更新安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.8 | 確定刪除安全性解決方案的活動記錄警示是否存在 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.2.9 | 確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 記錄和監視 | 5.3 | 確定所有支援診斷記錄的服務都已啟用診斷記錄。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 5 記錄和監視 | 5.3 | 確保支援診斷記錄的所有服務都已啟用診斷記錄。 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 CIS v2.0.0 的 Azure 原則法規合規性詳細資料。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure基礎基準測試。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 5.1 | 5.1.2 | 請確認診斷設定可擷取適當的類別 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.1 | 5.1.2 | 請確認診斷設定可擷取適當的類別 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5.1 | 5.1.2 | 請確認診斷設定可擷取適當的類別 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 5.1 | 5.1.4 | 確定包含容器且有活動記錄的儲存體帳戶會以客戶自控金鑰加密 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 5.1 | 5.1.5 | 確定 Azure Key Vault 的記錄是 [已啟用] | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5.2 | 5.2.1 | 確定建立原則指派的活動記錄警示是否存在 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5.2 | 5.2.2 | 確保刪除原則指派存有活動記錄警示 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 5.2 | 5.2.3 | 確定建立或更新網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.2 | 5.2.4 | 確定刪除網路安全性群組的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.2 | 5.2.5 | 確定建立或更新安全性解決方案的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.2 | 5.2.6 | 確定刪除安全性解決方案的活動記錄警示是否存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.2 | 5.2.7 | 確定有建立或更新 SQL Server 防火牆規則的活動記錄警示存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5.2 | 5.2.8 | 確定有刪除 SQL Server 防火牆規則的活動記錄警示存在 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 5 | 5.4 | 確保所有支援 Azure 監視器資源記錄的服務都已啟用該記錄功能 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保所有支援 Azure 監視器資源記錄的服務都已啟用該功能 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 5 | 5.4 | 確定支援 Azure 監視器資源記錄的所有服務都已啟用該功能 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 5 | 5.4 | 確保支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 5 | 5.4 | 確保所有支援 Azure 監視器資源記錄的服務都已啟用該記錄功能 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
CMMC 第 3 級
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - CMMC 第 3 級。 如需此合規性標準的詳細資訊,請參閱網路安全性成熟度模型認證 (CMMC)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 存取控制 | AC.3.018 | 防止不具權限的使用者執行需具有權限的功能,並在稽核記錄中擷取此類功能的執行。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 存取控制 | AC.3.021 | 授權遠端執行權限命令,以及遠端存取安全性相關資訊。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 稽核和責任 | AU.2.041 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,以便使用者對其動作負責。 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 活動記錄至少應保留一年 | 1.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 稽核和責任 | AU.2.042 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動。 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 稽核和責任 | AU.3.046 | 發生稽核記錄處理失敗時發出警示。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 稽核和責任 | AU.3.048 | 收集稽核資訊 (例如記錄) 至一個或多個中央存放庫。 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU.3.049 | 保護稽核資訊和稽核記錄工具,防止未經授權的存取、修改和刪除。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 稽核和責任 | AU.3.049 | 保護稽核資訊和稽核記錄工具,防止未經授權的存取、修改和刪除。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 安全性評量 | CA.2.158 | 定期評估組織性系統中的安全性控制項,以判斷控制措施在其應用程式中是否有效。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 安全性評量 | CA.3.161 | 持續監視安全性控制項,以確保控制措施的持續有效性。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 組態管理 | CM.2.061 | 在整個系統開發生命週期中建立及維護組織系統的基準設定及庫存 (包括硬體、軟體、韌體及文件)。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 組態管理 | CM.2.065 | 追蹤、檢閱、核准或不核准,以及記錄對於組織性系統的變更。 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 事件回應 | IR.2.093 | 偵測並報告事件。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 系統和資訊完整性 | SI.2.216 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 系統和資訊完整性 | SI.2.216 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 系統和資訊完整性 | SI.2.216 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 系統和資訊完整性 | SI.2.216 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 系統和資訊完整性 | SI.2.216 | 監視組織系統,包括輸入和輸出通訊流量,以偵測攻擊和潛在攻擊的指標。 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | 活動記錄至少應保留一年 | 1.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 系統和資訊完整性 | SI.2.217 | 識別組織性系統未經授權的使用。 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
FedRAMP High
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP High。 如需此合規性標準的詳細資訊,請參閱 FedRAMP High
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
FedRAMP Moderate
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - FedRAMP Moderate。 如需此合規性標準的詳細資訊,請參閱 FedRAMP Moderate。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | AU-12 | 稽核產生 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
HIPAA HITRUST 9.2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - HIPAA HITRUST 9.2。 如需此合規性標準的詳細資訊,請參閱 HIPAA HITRUST 9.2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 08 網路保護 | 0860.09m1Organizational.9-09.m | 0860.09m1Organizational.9-09.m 09.06 網路安全性管理 | 部署網路安全性群組的診斷設定 | 2.0.1 |
| 11 存取控制 | 1120.09ab3System.9-09.ab | 1120.09ab3System.9-09.ab 09.10 監視 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 12 稽核記錄和監視 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 監視 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1203.09aa1System.2-09.aa | 1203.09aa1System.2-09.aa 09.10 監視 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 12 稽核記錄和監視 | 1204.09aa1System.3-09.aa | 1204.09aa1System.3-09.aa 09.10 監視 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 12 稽核記錄和監視 | 1205.09aa2System.1-09.aa | 1205.09aa2System.1-09.aa 09.10 監視 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1207.09aa2System.4-09.aa | 1207.09aa2System.4-09.aa 09.10 監視 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1208.09aa3System.1-09.aa | 1208.09aa3System.1-09.aa 09.10 監視 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1209.09aa3System.2-09.aa | 1209.09aa3System.2-09.aa 09.10 監視 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 12 稽核記錄和監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 12 稽核記錄和監視 | 1210.09aa3System.3-09.aa | 1210.09aa3System.3-09.aa 09.10 監視 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 1.1.0 |
| 12 稽核記錄和監視 | 1211.09aa3System.4-09.aa | 1211.09aa3System.4-09.aa 09.10 監視 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 12 稽核記錄和監視 | 1212.09ab1System.1-09.ab | 1212.09ab1System.1-09.ab 09.10 監視 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 12 稽核記錄和監視 | 1214.09ab2System.3456-09.ab | 1214.09ab2System.3456-09.ab 09.10 監視 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 12 稽核記錄和監視 | 1219.09ab3System.10-09.ab | 1219.09ab3System.10-09.ab 09.10 監視 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 12 稽核記錄和監視 | 1270.09ad1System.12-09.ad | 1270.09ad1System.12-09.ad 09.10 監視 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 12 稽核記錄和監視 | 1271.09ad1System.1-09.ad | 1271.09ad1System.1-09.ad 09.10 監視 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
IRS 1075 2016 年 9 月
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 2016 年 9 月 IRS 1075。 如需此合規性標準的詳細資訊,請參閱 2016 年 9 月 IRS 1075。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 認知和訓練 | 9.3.3.11 | 稽核產生 (AU-12) | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 認知和訓練 | 9.3.3.5 | 稽核處理失敗時的回應 (AU-5) | 稽核所選資源類型的診斷設定 | 2.0.1 |
ISO 27001:2013
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - ISO 27001:2013。 如需此合規性標準的詳細資訊,請參閱 ISO 27001:2013。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 作業安全性 | 12.4.1 | 事件記錄 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 作業安全性 | 12.4.3 | 系統管理員與操作員的記錄 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 作業安全性 | 12.4.4 | 時鐘同步處理 | 稽核所選資源類型的診斷設定 | 2.0.1 |
Microsoft 雲端安全性基準
Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 若要查看此服務如何完全對應至 Microsoft 雲端安全性基準,請參閱 Azure 安全性基準對應檔案。
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方法,請參閱 Azure 原則法規合規性 - Microsoft 雲端安全性基準。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 資料保護 | DP-8 | 確定金鑰和憑證存放庫的安全性 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure Databricks 工作區中的資源記錄 | 1.0.1 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure Kubernetes Service 中的資源記錄 | 1.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure Machine Learning 工作區中的資源記錄 | 1.0.1 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 記錄與威脅偵測 | LT-3 | 啟用安全性調查的記錄 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
NIST SP 800-171 R2
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-171 R2。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-171 R2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.1 | 建立並保留系統稽核記錄檔和記錄達所需的程度,使其能夠監視、分析、調查及報告非法或未經授權的系統活動 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | 3.3.2 | 確定個別系統使用者的動作可被唯一地追蹤到這些使用者,讓使用者可以對其動作保有責任。 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
NIST SP 800-53 Rev. 4
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 4。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 4 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 整合/掃描和監視功能 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核產生 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統/時間相互關聯的稽核記錄 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
NIST SP 800-53 Rev. 5
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - NIST SP 800-53 Rev. 5。 如需此合規性標準的詳細資訊,請參閱 NIST SP 800-53 Rev. 5。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (4) | 集中式檢閱與分析 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-6 (5) | 稽核記錄的整合式分析 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 | 稽核記錄產生 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 稽核和責任 | AU-12 (1) | 全系統及時間相互關聯的稽核線索 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
NL BIO 雲端佈景主題
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱適用於 NL BIO 雲端佈景主題的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱基準資訊安全政府網路安全性 – 數位政府 (digitaleoverheid.nl) (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| U.15.1 記錄和監視 - 記錄的事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | Azure Front Door 應該已啟用資源記錄 | 1.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | Azure Front Door Standard 或 進階版 (Plus WAF) 應啟用資源記錄 | 1.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Azure Databricks 工作區中的資源記錄 | 1.0.1 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用 Azure Kubernetes Service 中的資源記錄 | 1.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用 Azure Machine Learning 工作區中的資源記錄 | 1.0.1 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄違反原則規則。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| U.15.1 記錄和監視 - 已記錄事件 | U.15.1 | CSP 和 CSC 會記錄原則規則的違規。 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| U.15.3 記錄和監視 - 記錄的事件 | U.15.3 | CSP 會維護記錄和監視和檢閱此清單方面全部重要資產的清單。 | 稽核所選資源類型的診斷設定 | 2.0.1 |
PCI DSS 3.2.1
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 PCI DSS 3.2.1。 如需此合規性標準的詳細資訊,請參閱 PCI DSS 3.2.1。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 需求 10 | 10.5.4 | PCI DSS 需求 10.5.4 | 稽核所選資源類型的診斷設定 | 2.0.1 |
PCI DSS v4.0
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的情形,請參閱 PCI DSS v4.0 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 PCI DSS v4.0 (英文)。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 需求 10:記錄和監視對系統元件和持卡人資料的所有存取 | 10.2.2 | 實作稽核記錄以支援異常和可疑活動的偵測,以及事件的鑑識分析 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 需求 10:記錄和監視對系統元件和持卡人資料的所有存取 | 10.3.3 | 稽核記錄受到保護,不會遭到毀損和未經授權的修改 | 稽核所選資源類型的診斷設定 | 2.0.1 |
印度儲備銀行 - 適用於 NBFC 的 IT Framework
若要檢閱適用於所有 Azure 服務的可用 Azure 原則如何對應到此合規性標準,請參閱 Azure 原則法規合規性 - 印度儲備銀行 - 適用於 NBFC 的 IT Framework。 如需此合規性標準的詳細資訊,請參閱印度儲備銀行 - 適用於 NBFC 的 IT 架構。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 資訊和網路安全性 | 3.1.c | 角色型存取控制-3.1 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | 活動記錄至少應保留一年 | 1.0.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Application Insights 元件應該封鎖來自公用網路的記錄擷取和查詢 | 1.1.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | 適用於 Application Insights 的 Azure 監視器記錄應該連結至 Log Analytics 工作區 | 1.1.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 資訊和網路安全性 | 3.1.g | 線索-3.1 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
印度儲備銀行 - 銀行的 IT 架構 v2016
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應至此合規性標準的方式,請參閱 Azure 原則法規合規性 - RBI ITF 銀行 v2016。 如需此合規性標準的詳細資訊,請參閱 RBI ITF 銀行 v2016 (PDF)。
RMIT 馬來西亞
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - RMIT 馬來西亞。 如需此合規性標準的詳細資訊,請參閱 RMIT 馬來西亞。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 雲端服務 | 10.53 | 雲端服務 - 10.53 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 活動記錄至少應保留一年 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 稽核所選資源類型的診斷設定 | 2.0.1 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 適用於 Application Insights 的 Azure 監視器記錄應該連結至 Log Analytics 工作區 | 1.1.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 部署 - 將 SQL Database 診斷設定設定為 Log Analytics 工作區 | 4.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Batch 帳戶的診斷 設定 部署到事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Batch 帳戶的診斷 設定 部署到 Log Analytics 工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Data Lake Analytics 的診斷 設定 部署到事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Data Lake Analytics 的診斷 設定 部署到 Log Analytics 工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Data Lake 儲存體 Gen1 的診斷 設定 部署到事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Data Lake 儲存體 Gen1 的診斷 設定 部署到 Log Analytics 工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將事件中樞的診斷設定部署至事件中樞 | 2.1.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將事件中樞的診斷設定部署至 Log Analytics 工作區 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Key Vault 的診斷設定部署至 Log Analytics 工作區 | 3.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Logic Apps 的診斷設定部署至事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將 Logic Apps 的診斷設定部署至 Log Analytics 工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將搜尋服務的診斷 設定 部署至事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將搜尋服務的診斷 設定 部署至 Log Analytics 工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將服務匯流排的診斷設定部署到事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將服務匯流排的診斷設定部署至 Log Analytics 工作區 | 2.1.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將串流分析的診斷 設定 部署到事件中樞 | 2.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 將串流分析的診斷 設定 部署到Log Analytics工作區 | 1.0.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 1.1.0 |
| 數位服務的安全性 | 10.66 | 數位服務的安全性 - 10.66 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 安全性作業中心 (SOC) | 11.18 | 安全性作業中心 (SOC) - 11.18 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
SWIFT CSP-CSCF v2021
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 SWIFT CSP-CSCF v2021 的 Azure 原則法規合規性詳細資料。 如需此合規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2021。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 活動記錄至少應保留一年 | 1.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Azure Data Lake Store 中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Azure 串流分析中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Data Lake Analytics 中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用事件中樞內的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 IoT 中樞內的資源記錄 | 3.1.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 偵測系統或交易記錄的異常活動 | 6.4 | 記錄和監視 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
SWIFT CSP-CSCF v2022
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 SWIFT CSP-CSCF v2022 的 Azure 原則法規合規性詳細資料。 如需此法規性標準的詳細資訊,請參閱 SWIFT CSP CSCF v2022。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 活動記錄至少應保留一年 | 1.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | App Service 應用程式應啟用資源記錄 | 2.0.1 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 1.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 適用於 Application Insights 的 Azure 監視器記錄應該連結至 Log Analytics 工作區 | 1.1.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | Azure 監視器應從所有區域收集活動記錄 | 2.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應啟用 Batch 帳戶中的資源記錄 | 5.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應啟用 Key Vault 中的資源記錄 | 5.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應啟用 Logic Apps 中的資源記錄 | 5.1.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應啟用搜尋服務中的資源記錄 | 5.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 應啟用服務匯流排中的資源記錄 | 5.0.0 |
| 6.偵測系統或交易記錄的異常活動 | 6.4 | 記錄安全性事件,並偵測本機 SWIFT 環境內的異常動作和作業。 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
系統和組織控制 (SOC) 2
若要檢閱所有 Azure 服務的可用 Azure 原則 內建如何對應至此合規性標準,請參閱 Azure 原則 System and Organization Controls (SOC) 2 的法規合規性詳細數據。 如需此合規性標準的詳細資訊,請參閱 系統與組織控件 (SOC) 2。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 邏輯和實體 存取控制 | CC6.1 | 邏輯存取安全性軟體、基礎結構和架構 | 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 1.0.0 |
| 系統作業 | CC7.2 | 監視系統元件是否有異常行為 | 特定系統管理作業應有活動記錄警示 | 1.0.0 |
| 系統作業 | CC7.2 | 監視系統元件是否有異常行為 | 特定原則作業應有活動記錄警示 | 3.0.0 |
| 系統作業 | CC7.2 | 監視系統元件是否有異常行為 | 特定安全性作業應有活動記錄警示 | 1.0.0 |
UK OFFICIAL 與 UK NHS
若要檢閱適用於所有 Azure 服務的可用 Azure 原則內建項目對應到此合規性標準的方法,請參閱 Azure 原則法規合規性 - 英國官方和英國 NHS。 如需此合規性標準的詳細資訊,請參閱英國官方。
| 網域 | 控制識別碼 | 控制標題 | 原則 (Azure 入口網站) |
原則版本 (GitHub) |
|---|---|---|---|---|
| 稽核使用者的資訊 | 13 | 稽核使用者的資訊 | 稽核所選資源類型的診斷設定 | 2.0.1 |
下一步
- 深入了解 Azure 原則法規合規性。
- 請參閱 Azure 原則 GitHub 存放庫上的內建項目。