Spain ENS 法規合規性內建方案的詳細資料
下文詳細說明 Azure 原則法規合規性內建方案定義如何對應至 Spain ENS 中的合規性領域和控制項。 如需此合規性標準的詳細資訊,請參閱 Spain ENS。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
以下為 Spain ENS 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 接著,尋找並選取 Spain ENS 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
保護措施
通訊的保護
識別碼:ENS v1 mp.com.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| Azure 證明提供者應停用公用網路存取 | 若要改善 Azure 證明服務的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 aka.ms/azureattestation 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.1.0 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍以限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure SignalR Service 應停用公用網路存取 | 若要改善 Azure SignalR Service 資源的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/asrs/networkacls 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.1.0 |
| Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure 應用程式閘道的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure Front Door 的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 設定金鑰保存庫以啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 接著,您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | 修改、停用 | 1.1.1 |
| 設定儲存體帳戶以停用公用網路存取 | 若要改善儲存體帳戶的安全性,請確定儲存體帳戶不會公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | 修改、停用 | 1.0.1 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 應移除 Azure Synapse 工作區上的 IP 防火牆規則 | 移除所有 IP 防火牆規則可確保您的 Azure Synapse 工作區只能從私人端點存取,藉此改善安全性。 此設定會審核防火牆規則的建立,以允許在工作區上使用公用網路存取。 | Audit, Disabled | 1.0.0 |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
| MariaDB 伺服器應使用虛擬網路服務端點 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入適用於 MariaDB 的 Azure 資料庫,同時確保流量會保持在 Azure 界限內。 此原則可讓您在使用擁有虛擬網路服務端點的適用於 MariaDB 的 Azure 資料庫情況下進行稽核。 | AuditIfNotExists, Disabled | 1.0.2 |
| 將 WAF 從 WAF 組態移轉至應用程式閘道上的 WAF 原則 | 如果您具有 WAF 組態而非 WAF 原則,您可能想要移至新的 WAF 原則。 其後,防火牆原則將支援 WAF 原則設定、受控規則集、排除項目和停用的規則群組。 | Audit, Deny, Disabled | 1.0.0 |
| 修改 Azure SignalR Service 資源以停用公用網路存取 | 若要改善 Azure SignalR Service 資源的安全性,請確定將其公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/asrs/networkacls 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | 修改、停用 | 1.1.0 |
| MariaDB 伺服器應使用虛擬網路服務端點 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入適用於 MySQL 的 Azure 資料庫,同時確保流量會保持在 Azure 界限內。 此原則可讓您在使用擁有虛擬網路服務端點的適用於 MySQL 的 Azure 資料庫情況下進行稽核。 | AuditIfNotExists, Disabled | 1.0.2 |
| PostgreSQL 伺服器應使用虛擬網路服務端點 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入適用於 PostgreSQL 的 Azure 資料庫,同時確保流量會保持在 Azure 界限內。 此原則可讓您在使用擁有虛擬網路服務端點的適用於 PostgreSQL 的 Azure 資料庫情況下進行稽核。 | AuditIfNotExists, Disabled | 1.0.2 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 應停用 Azure 資料總管上的公用網路存取 | 停用公用網路存取屬性可提高安全性,方法是確定只能從私人端點存取 Azure 資料總管。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.0.0 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應為 IoT Central 停用公用網路存取 | 若要改善 IoT Central 的安全性,請確定並未將其公開至公用網際網路,而只能從私人端點加以存取。 停用公用網路存取屬性,如 https://aka.ms/iotcentral-restrict-public-access 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.0 |
| 應為 MariaDB 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MariaDB 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
| 應為 MySQL 彈性伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.1.0 |
| 應為 MySQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
| 應為 PostgreSQL 彈性伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 型防火牆規則的登入。 | Audit, Deny, Disabled | 3.1.0 |
| 應為 PostgreSQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.1 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應停用公用網路存取 | 若要改善儲存體帳戶的安全性,請確定儲存體帳戶不會公開至公用網際網路,且只能從私人端點存取。 停用公用網路存取屬性,如 https://aka.ms/storageaccountpublicnetworkaccess 中所述。 此選項會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 這會降低資料洩漏風險。 | Audit, Deny, Disabled | 1.0.1 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 應對 Azure SQL Database 啟用虛擬網路防火牆規則,允許來自指定子網路的流量 | 使用虛擬網路形式的防火牆規則,讓流量從特定子網路進入 Azure SQL Database,同時確保流量會保持在 Azure 界限內。 | AuditIfNotExists | 1.0.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Windows 電腦應符合「Windows 防火牆屬性」的需求 | Windows 電腦的 [Windows 防火牆內容] 類別中應具有指定的群組原則設定,以用於防火牆狀態、連線、規則管理和通知。 此原則會要求必須已將來賓組態必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 3.0.0 |
通訊的保護
識別碼:ENS v1 mp.com.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
通訊的保護
識別碼:ENS v1 mp.com.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已淘汰]:虛擬機器應該加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 此原則定義已不再是達成其意圖的建議方式。 建議您不要繼續使用此原則,而是指派原則識別碼為 3dc5edcd-002d-444c-b216-e123bbfa37c0 和 ca88aadc-6e2b-416c-9de2-5a0f01d1693f 的取代原則。 在 aka.ms/policydefdeprecation 深入了解原則定義取代 | AuditIfNotExists, Disabled | 2.1.0-deprecated |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
通訊的保護
識別碼:ENS v1 mp.com.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
設備的保護
識別碼:ENS v1 mp.eq.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
設備的保護
識別碼:ENS v1 mp.eq.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
設備的保護
識別碼:ENS v1 mp.eq.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
設備的保護
識別碼:ENS v1 mp.eq.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 確認安全性分類已核准 | CMA_C1540 - 確認安全性分類已核准 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
| 管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
| 管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
| 管理安全監視錄影系統 | CMA_0354 - 管理安全監視錄影系統 | 手動、已停用 | 1.1.0 |
| 管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 採用自動緊急照明 | CMA_0209 - 採用自動緊急照明 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 採用自動緊急照明 | CMA_0209 - 採用自動緊急照明 | 手動、已停用 | 1.1.0 |
| 建立網際網路服務提供者的需求 | CMA_0278 - 建立網際網路服務提供者的需求 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
| 測試商務持續性和災害復原計劃 | CMA_0509 - 測試商務持續性和災害復原計劃 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.6 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 確認替代儲存網站保護等同於主要網站 | CMA_C1268 - 請確認替代儲存網站保護等同於主要網站 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 找出並降低替代儲存網站的潛在問題 | CMA_C1271 - 找出並降低替代儲存網站的潛在問題 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
設施和基礎結構的保護
識別碼:ENS v1 mp.if.7 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
| 管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認安全性分類已核准 | CMA_C1540 - 確認安全性分類已核准 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 明確通知使用共同作業運算裝置 | CMA_C1649 - 明確通知使用共同作業運算裝置 | 手動、已停用 | 1.1.1 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 禁止遠端啟用共同作業運算裝置 | CMA_C1648 - 禁止遠端啟用共同作業運算裝置 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核所選資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 將稽核記錄編譯為全系統稽核 | CMA_C1140 - 將稽核記錄編譯為全系統稽核 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 在稽核記錄上使用系統時鐘 | CMA_0535 - 在稽核記錄上使用系統時鐘 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
資訊保護
識別碼:ENS v1 mp.info.6 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:針對儲存體帳戶中具有指定標籤的 Blob,設定備份至同一區域中現有的備份保存庫 | 將所有儲存體帳戶中含有指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [預覽]:針對所有儲存體帳戶中不含指定標籤的 Blob,設定備份至同一區域中的備份保存庫 | 將所有儲存體帳戶中不含指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
員工管理
識別碼:ENS v1 mp.per.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除具有機密資訊存取權的人員 | CMA_0054 - 清除具有機密資訊存取權的人員 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 實作人員篩選 | CMA_0322 - 實作人員篩選 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 以定義的頻率重新篩選個人 | CMA_C1512 - 以定義的頻率重新篩選個人 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
員工管理
識別碼:ENS v1 mp.per.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 實作正式制裁流程 | CMA_0317 - 實作正式制裁流程 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 制裁時通知人員 | CMA_0380 - 制裁時通知人員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
員工管理
識別碼:ENS v1 mp.per.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
員工管理
識別碼:ENS v1 mp.per.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
服務的保護
識別碼:ENS v1 mp.s.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
服務的保護
識別碼:ENS v1 mp.s.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
服務的保護
識別碼:ENS v1 mp.s.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應將 App Service 應用程式插槽插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 1.0.0 |
| App Service 應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應插入虛擬網路中 | 將 App Service 應用程式插入虛擬網路中,即可開啟進階的 App Service 網路與安全性功能,並為您提供更好的網路安全性設定控制權。 深入了解:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit, Deny, Disabled | 3.0.0 |
| App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| Azure 應用程式閘道應啟用資源記錄 | 啟用 Azure 應用程式閘道的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Front Door 應啟用資源記錄 | 啟用 Azure Front Door 的資源記錄 (加上 WAF),並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Front Door 標準或進階 (以及 WAF) 應該已啟用資源記錄 | 啟用 Azure Front Door 標準或進階 (以及 WAF) 的資源記錄,並串流至 Log Analytics 工作區。 取得輸入 Web 流量的詳細可見度,以及針對減輕攻擊所採取的動作。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
| Azure 應用程式閘道上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure 應用程式閘道的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 上的 Azure Web 應用程式防火牆應該已啟用要求本文檢查 | 請確定關聯至 Azure Front Door 的 Azure Web 應用程式防火牆已啟用要求本文檢查。 這可讓 WAF 檢查 HTTP 本文內可能未在 HTTP 標頭、Cookie 或 URI 中評估的屬性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| Azure Web PubSub 服務應停用公用網路存取 | 停用公用網路存取權可確保 Azure Web PubSub 服務不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制 Azure Web PubSub 服務的曝光程度。 深入了解:https://aka.ms/awps/networkacls。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應該啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Web PubSub 服務應停用本機驗證方法 | 停用本機驗證方法可確保 Azure Web PubSub 服務僅需要 Azure Active Directory 身分認證進行驗證,以提升安全性。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應使用支援私人連結的 SKU | 透過支援的 SKU,Azure Private Link 可讓您將虛擬網路連線至 Azure 服務,而不需要來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Web PubSub 服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | Audit, Disabled | 1.0.0 |
| 為 Web groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 Web groupID 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 為 web_secondary groupID 設定私人 DNS 區域識別碼 | 設定私人 DNS 區域群組,以覆寫 web_secondary 私人端點的 DNS 解析。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用之適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定 Azure Web PubSub 服務以停用本機驗證 | 停用本機驗證方法,讓您的 Azure Web PubSub 服務完全需要 Azure Active Directory 身分識別進行驗證。 | 修改、停用 | 1.0.0 |
| 設定 Azure Web PubSub 服務以停用公用網路存取 | 停用 Azure Web PubSub 資源的公用網路存取,使其無法經由公用網際網路存取。 這可降低資料洩漏風險。 深入了解:https://aka.ms/awps/networkacls。 | 修改、停用 | 1.0.0 |
| 請設定 Azure Web PubSub 服務,以使用私人 DNS 區域 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對 Azure Web PubSub 服務進行解析。 深入了解:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
| 使用私人端點設定 Azure Web PubSub 服務 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 藉由將私人端點對應至 Azure Web PubSub 服務,就可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/awps/privatelink。 | DeployIfNotExists, Disabled | 1.0.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 啟用依類別群組記錄至事件中樞 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 將記錄路由傳送至事件中樞。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.2.0 |
| 針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 啟用依類別群組記錄至 Log Analytics | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 將記錄路由傳送至 Log Analytics 工作區。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 啟用依類別群組記錄至儲存體 | 應啟用資源記錄以追蹤在資源上發生的活動與事件,並讓您查看和深入解析已發生的任何變更。 此原則會使用類別群組部署診斷設定,針對 Web PubSub 服務 (microsoft.signalrservice/webpubsub) 將記錄路由傳送至儲存體帳戶。 | DeployIfNotExists、AuditIfNotExists、Disabled | 1.1.0 |
| 啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 函數應用程式插槽應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 1.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| Microsoft 管理控制項 1829 - 資料完整性和資料完整性面板 | 在網站上發佈合約 | Microsoft 會實作資料品質和完整性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1865 - 記錄系統通知和隱私權法案聲明 | 公用網站發佈 | Microsoft 會實作此透明度控制項 | 稽核 | 1.0.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 在公用網站上發佈電腦比對合約 | CMA_C1829 - 在公用網站上發佈電腦比對合約 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
| Web 應用程式防火牆 (WAF) 應對應用程式閘道使用指定的模式 | 在應用程式閘道的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
| Web 應用程式防火牆 (WAF) 應對 Azure Front Door Service 使用指定的模式 | 在 Azure Front Door Service 的所有 Web 應用程式防火牆原則上授權使用「偵測」或「預防」模式。 | Audit, Deny, Disabled | 1.0.0 |
服務的保護
識別碼:ENS v1 mp.s.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該啟用 Azure DDoS 保護 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists, Disabled | 3.0.1 |
| 執行容量規劃 | CMA_C1252 - 執行容量規劃 | 手動、已停用 | 1.1.0 |
| 制定並記錄 DDoS 回應計劃 | CMA_0147 - 制定並記錄 DDoS 回應計劃 | 手動、已停用 | 1.1.0 |
| 啟用速率限制規則以防止 Azure Front Door WAF 上的 DDoS 攻擊 | Azure Front Door 的 Azure Web 應用程式防火牆 (WAF) 速率限制規則可控制在速率限制期間,從特定用戶端 IP 位址到應用程式所允許的要求數目。 | Audit, Deny, Disabled | 1.0.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 公用 IP 位址應為 Azure DDoS 保護啟用資源記錄 | 在診斷設定中啟用公用 IP 位址的資源記錄,以串流至 Log Analytics 工作區。 透過通知、報告和流量記錄,深入了解攻擊流量及為降低 DDoS 攻擊所採取的動作。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.0.1 |
| 虛擬網路應受 Azure DDoS 保護的保護 | 使用 Azure DDoS 保護來保護您的虛擬網路,防止體積型和通訊協定攻擊。 如需詳細資訊,請瀏覽 https://aka.ms/ddosprotectiondocs。 | 修改、稽核、已停用 | 1.0.1 |
資訊媒體的保護
識別碼:ENS v1 mp.si.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分類資訊 | CMA_0052 - 分類資訊 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 制定商務分類方案 | CMA_0155 - 制定商務分類方案 | 手動、已停用 | 1.1.0 |
| 確認安全性分類已核准 | CMA_C1540 - 確認安全性分類已核准 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
資訊媒體的保護
識別碼:ENS v1 mp.si.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 建立個別的替代和主要儲存網站 | CMA_C1269 - 建立個別的替代和主要儲存網站 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
| 建立替代處理站台 | CMA_0262 - 建立替代處理站台 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 規劃基本商務功能的持續性 | CMA_C1255 - 規劃基本商務功能的持續性 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
資訊媒體的保護
識別碼:ENS v1 mp.si.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 定義管理資產的需求 | CMA_0125 - 定義管理資產的需求 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 採用自動化訓練環境 | CMA_C1357 - 採用自動化訓練環境 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立資訊安全性工作者開發與改進計畫 | CMA_C1752 - 建立資訊安全性工作者開發與改進計畫 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 監視安全性和隱私權訓練完成 | CMA_0379 - 監視安全性和隱私權訓練完成 | 手動、已停用 | 1.1.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 提供資訊洩漏訓練 | CMA_0413 - 提供資訊洩漏訓練 | 手動、已停用 | 1.1.0 |
| 提供定期角色型安全性訓練 | CMA_C1095 - 提供定期角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供角色型安全性訓練 | CMA_C1094 - 提供角色型安全性訓練 | 手動、已停用 | 1.1.0 |
| 提供存取權之前提供安全性訓練 | CMA_0418 - 提供存取權之前提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 保留訓練記錄 | CMA_0456 - 保留訓練記錄 | 手動、已停用 | 1.1.0 |
| 對人員進行公開揭示非公用資訊的訓練 | CMA_C1084 - 對人員進行公開揭示非公用資訊的訓練 | 手動、已停用 | 1.1.0 |
資訊媒體的保護
識別碼:ENS v1 mp.si.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 指定人員以管理未經授權的維護活動 | CMA_C1422 - 指定人員以管理未經授權的維護活動 | 手動、已停用 | 1.1.0 |
| 記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 維護授權的遠端維修人員清單 | CMA_C1420 - 維護授權的遠端維修人員清單 | 手動、已停用 | 1.1.0 |
| 管理維護人員 | CMA_C1421 - 管理維護人員 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
資訊媒體的保護
識別碼:ENS v1 mp.si.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
IT 應用程式的保護
識別碼:ENS v1 mp.sw.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作控制項以保護 PII | CMA_C1839 - 實作控制項以保護 PII | 手動、已停用 | 1.1.0 |
| 結合研究處理中的安全性和資料隱私權做法 | CMA_0331 - 結合研究處理中的安全性和資料隱私權做法 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
| 需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
| 需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
IT 應用程式的保護
識別碼:ENS v1 mp.sw.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 指派授權正式 (AO) | CMA_C1158 - 指派授權正式 (AO) | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 進行風險評量並散發其結果 | CMA_C1544 - 進行風險評量並散發其結果 | 手動、已停用 | 1.1.0 |
| 進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 確認資源已獲授權 | CMA_C1159 - 確認資源已獲授權 | 手動、已停用 | 1.1.0 |
| 確認沒有未加密的靜態驗證器 | CMA_C1340 - 確認沒有未加密的靜態驗證器 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 使用 Python 的函數應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Python 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
| 控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
| 實作控制項以保護 PII | CMA_C1839 - 實作控制項以保護 PII | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 結合研究處理中的安全性和資料隱私權做法 | CMA_0331 - 結合研究處理中的安全性和資料隱私權做法 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行處置檢閱 | CMA_0391 - 執行處置檢閱 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 需要開發人員產生安全性評量計劃執行的證明 | CMA_C1602 - 需要開發人員產生安全性評量計劃執行的證明 | 手動、已停用 | 1.1.0 |
| 選取安全性控制評量的其他測試 | CMA_C1149 - 選取安全性控制評量的其他測試 | 手動、已停用 | 1.1.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
| 在處理結束時,確認個人資料已刪除 | CMA_0540 - 在處理結束時,確認個人資料已刪除 | 手動、已停用 | 1.1.0 |
| 檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
作業架構
存取控制
識別碼:ENS v1 op.acc.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 指派系統識別碼 | CMA_0018 - 指派系統識別碼 | 手動、已停用 | 1.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 防止在定義的時間週期重複使用識別碼 | CMA_C1314 - 防止在定義的時間週期重複使用識別碼 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
存取控制
識別碼:ENS v1 op.acc.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
| 稽核允許在指定的唯一密碼數目之後重複使用密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器允許在指定的唯一密碼數目之後重複使用密碼,則機器不符合規範。 唯一密碼的預設值為 24 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最長有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最長有效期設定為指定天數,則機器不符合規範。 密碼最長有效期的預設值為 70 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未將密碼最短有效期設定為指定天數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼最短有效期設定為指定天數,則機器不符合規範。 密碼最短有效期的預設值為 1 天 | AuditIfNotExists, Disabled | 2.1.0 |
| 稽核未啟用密碼複雜度設定的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未啟用密碼複雜度設定,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 稽核未將密碼長度下限限制為指定字元數的 Windows 機器 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 機器未將密碼長度下限限制為指定的字元數,機器就不符合規範。 密碼長度下限的預設值為 14 個字元 | AuditIfNotExists, Disabled | 2.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制限制連續失敗的登入嘗試 | CMA_C1044 - 強制限制連續失敗的登入嘗試 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 在驗證程式期間模糊意見反應資訊 | CMA_C1344 - 在驗證程式期間模糊意見反應資訊 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 顯示錯誤訊息 | CMA_C1725 - 顯示錯誤訊息 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
存取控制
識別碼:ENS v1 op.acc.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義存取授權以支援職能分工 | CMA_0116 - 定義存取授權以支援職能分工 | 手動、已停用 | 1.1.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 記錄職責區分 | CMA_0204 - 記錄職責區分 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 個人職責劃分 | CMA_0492 - 個人職責劃分 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
存取控制
識別碼:ENS v1 op.acc.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
存取控制
識別碼:ENS v1 op.acc.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 指派客戶經理 | CMA_0015 - 指派客戶經理 | 手動、已停用 | 1.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義資訊系統帳戶類型 | CMA_0121 - 定義資訊系統帳戶類型 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 文件存取權限 | CMA_0186 - 文件存取權限 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制限制連續失敗的登入嘗試 | CMA_C1044 - 強制限制連續失敗的登入嘗試 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 為角色成員資格建立條件 | CMA_0269 - 為角色成員資格建立條件 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 限制特殊權限以在生產環境中進行變更 | CMA_C1206 - 限制特殊權限以在生產環境中進行變更 | 手動、已停用 | 1.1.0 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 通知客戶控制帳戶的帳戶管理員 | CMA_C1009 - 通知客戶控制帳戶的帳戶管理員 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 在驗證程式期間模糊意見反應資訊 | CMA_C1344 - 在驗證程式期間模糊意見反應資訊 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 顯示錯誤訊息 | CMA_C1725 - 顯示錯誤訊息 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱並重新評估權限 | CMA_C1207 - 檢閱並重新評估權限 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
存取控制
識別碼:ENS v1 op.acc.6 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已淘汰]:虛擬機器應該加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 此原則定義已不再是達成其意圖的建議方式。 建議您不要繼續使用此原則,而是指派原則識別碼為 3dc5edcd-002d-444c-b216-e123bbfa37c0 和 ca88aadc-6e2b-416c-9de2-5a0f01d1693f 的取代原則。 在 aka.ms/policydefdeprecation 深入了解原則定義取代 | AuditIfNotExists, Disabled | 2.1.0-deprecated |
| 對 Azure 資源具有擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核未使用可逆加密來儲存密碼的 Windows 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Windows 電腦未使用可逆加密來儲存密碼,則電腦不相容 | AuditIfNotExists, Disabled | 2.0.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 在 Windows VM 上部署 Windows 客體設定擴充功能,以啟用客體設定指派 | 此原則會將受客體設定支援的 Windows 客體設定延伸模組部署至裝載於 Azure 的 Windows 虛擬機器主機。 Windows 客體設定延伸模組是所有 Windows 客體設定指派的必要條件,要使用任何 Windows 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄及散發隱私權原則 | CMA_0188 - 記錄及散發隱私權原則 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制限制連續失敗的登入嘗試 | CMA_C1044 - 強制限制連續失敗的登入嘗試 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 產生錯誤訊息 | CMA_C1724 - 產生錯誤訊息 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 在驗證程式期間模糊意見反應資訊 | CMA_C1344 - 在驗證程式期間模糊意見反應資訊 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 限制通訊 | CMA_0449 - 限制通訊 | 手動、已停用 | 1.1.0 |
| 顯示錯誤訊息 | CMA_C1725 - 顯示錯誤訊息 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
服務的持續性
識別碼:ENS v1 op.cont.1 所有權:客戶
服務的持續性
識別碼:ENS v1 op.cont.2 所有權:客戶
服務的持續性
識別碼:ENS v1 op.cont.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:Azure 復原服務保存庫應使用私人連結進行備份 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure 復原服務保存庫,可降低資料洩漏風險。 深入了解私人連結:https://aka.ms/AB-PrivateEndpoints。 | Audit, Disabled | 2.0.0-preview |
| [預覽]:設定復原服務保存庫,以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對您的復原服務保存庫進行解析。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:設定復原服務保存庫,以使用私人端點進行備份 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至復原服務保存庫,有助於降低資料洩漏風險。 請注意,您的保存庫必須符合特定先決條件,才能符合私人端點設定的資格。 深入了解:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:停用備份保存庫的跨訂用帳戶還原 | 停用或永久停用備份保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrstatechange。 | 修改、停用 | 1.1.0-preview |
| [預覽]:備份保存庫必須啟用不變性 | 此原則會稽核範圍中備份保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
| [預覽]:復原服務保存庫必須啟用不變性 | 此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
| [預覽]:備份保存庫應該啟用虛刪除 | 此原則會稽核範圍中備份保存庫的虛刪除是否已啟用。 虛刪除可協助您在刪除資料之後復原資料。 深入了解:https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 結合模擬應變訓練 | CMA_C1260 - 結合模擬應變訓練 | 手動、已停用 | 1.1.0 |
| 起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft 管理控制項 1132 - 保護稽核資訊 | 在不同的實體系統/元件上稽核備份 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1242 - 應變計劃原則和程序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1243 - 應變計劃原則和程序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1244 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1245 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1246 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1247 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1248 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1249 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1250 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1251 - 應變計劃 | 協調相關計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1252 - 應變計劃 | 容量計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1253 - 應變計劃 | 恢復基本任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1254 - 應變計劃 | 恢復所有任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1255 - 應變計劃 | 繼續基本任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1256 - 應變計劃 | 識別重要資產 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1257 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1258 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1259 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1260 - 應變訓練 | 模擬的事件 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1261 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1262 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1263 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1264 - 應變計劃測試 | 協調相關計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1265 - 應變計劃測試 | 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1266 - 應變計劃測試 | 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1267 - 替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1268 - 替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1269 - 替代儲存地點 | 與主要地點隔離 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1270 - 替代儲存地點 | 復原時間/點目標 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1271 - 替代儲存地點 | 協助工具 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1272 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1273 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1274 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1275 - 替代處理地點 | 與主要站台的區隔 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1276 - 替代處理地點 | 協助工具 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1277 - 替代處理地點 | 服務優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1278 - 替代處理地點 | 準備使用 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1279 - 電信服務 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1280 - 電信服務 | 服務佈建優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1281 - 電信服務 | 服務佈建優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1282 - 電信服務 | 單一失敗點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1283 - 電信服務 | 隔離主要/替代提供者 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1284 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1285 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1286 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1287 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1288 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1289 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1290 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1291 - 資訊系統備份 | 測試可靠性/完整性 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1292 - 資訊系統備份 | 使用取樣來測試還原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1293 - 資訊系統備份 | 隔離重要資訊的儲存體 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1294 - 資訊系統備份 | 移轉至替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1295 - 資訊系統復原和重建 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1296 - 資訊系統復原和重建 | 交易復原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1297 - 資訊系統復原和重建 | 在時間週期內還原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| SQL Database 應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| SQL 受控執行個體應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| 在替代處理位置測試應變計劃 | CMA_C1265 - 在替代處理位置測試應變計劃 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
服務的持續性
識別碼:ENS v1 op.cont.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:Azure 復原服務保存庫應使用客戶自控金鑰來加密備份資料 | 使用客戶自控金鑰來管理備份資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/AB-CmkEncryption。 | Audit, Deny, Disabled | 1.0.0-preview |
| [預覽版]:Azure 復原服務保存庫應使用私人連結進行備份 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 將私人端點對應至 Azure 復原服務保存庫,可降低資料洩漏風險。 深入了解私人連結:https://aka.ms/AB-PrivateEndpoints。 | Audit, Disabled | 2.0.0-preview |
| [預覽]:針對儲存體帳戶中具有指定標籤的 Blob,設定備份至同一區域中現有的備份保存庫 | 將所有儲存體帳戶中含有指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [預覽]:針對所有儲存體帳戶中不含指定標籤的 Blob,設定備份至同一區域中的備份保存庫 | 將所有儲存體帳戶中不含指定標籤的 blob 強制備份到中央備份保存庫。 這樣做可協助您大規模管理多個儲存體帳戶所含的 blob 備份。 如需詳細資訊,請參閱 https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.0-preview |
| [預覽]:設定復原服務保存庫,以使用私人 DNS 區域進行備份 | 使用私人 DNS 區域來覆寫私人端點的 DNS 解析。 私人 DNS 區域會連結至您的虛擬網路,以針對您的復原服務保存庫進行解析。 深入了解:https://aka.ms/AB-PrivateEndpoints。 | DeployIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:設定復原服務保存庫,以使用私人端點進行備份 | 私人端點會將您的虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 透過將私人端點對應至復原服務保存庫,有助於降低資料洩漏風險。 請注意,您的保存庫必須符合特定先決條件,才能符合私人端點設定的資格。 深入了解:https://go.microsoft.com/fwlink/?linkid=2187162。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:停用備份保存庫的跨訂用帳戶還原 | 停用或永久停用備份保存庫的跨訂用帳戶還原,讓還原目標不能位於與保存庫訂用帳戶不同的訂用帳戶中。 深入了解:https://aka.ms/csrstatechange。 | 修改、停用 | 1.1.0-preview |
| [預覽]:備份保存庫必須啟用不變性 | 此原則會稽核範圍中備份保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
| [預覽]:復原服務保存庫必須啟用不變性 | 此原則會稽核範圍中復原服務保存庫的不可變保存庫屬性是否已啟用。 這有助於保護備份資料在預定到期日之前不會遭到刪除。 請至https://aka.ms/AB-ImmutableVaults,即可深入瞭解。 | Audit, Disabled | 1.0.1-preview |
| [預覽]:備份保存庫應該啟用虛刪除 | 此原則會稽核範圍中備份保存庫的虛刪除是否已啟用。 虛刪除可協助您在刪除資料之後復原資料。 深入了解:https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 結合模擬應變訓練 | CMA_C1260 - 結合模擬應變訓練 | 手動、已停用 | 1.1.0 |
| 起始應變計劃測試矯正措施 | CMA_C1263 - 起始應變計劃測試矯正措施 | 手動、已停用 | 1.1.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft 管理控制項 1132 - 保護稽核資訊 | 在不同的實體系統/元件上稽核備份 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1242 - 應變計劃原則和程序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1243 - 應變計劃原則和程序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1244 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1245 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1246 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1247 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1248 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1249 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1250 - 應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1251 - 應變計劃 | 協調相關計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1252 - 應變計劃 | 容量計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1253 - 應變計劃 | 恢復基本任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1254 - 應變計劃 | 恢復所有任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1255 - 應變計劃 | 繼續基本任務/企業功能 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1256 - 應變計劃 | 識別重要資產 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1257 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1258 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1259 - 應變訓練 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1260 - 應變訓練 | 模擬的事件 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1261 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1262 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1263 - 應變計劃測試 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1264 - 應變計劃測試 | 協調相關計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1265 - 應變計劃測試 | 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1266 - 應變計劃測試 | 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1267 - 替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1268 - 替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1269 - 替代儲存地點 | 與主要地點隔離 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1270 - 替代儲存地點 | 復原時間/點目標 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1271 - 替代儲存地點 | 協助工具 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1272 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1273 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1274 - 替代處理地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1275 - 替代處理地點 | 與主要站台的區隔 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1276 - 替代處理地點 | 協助工具 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1277 - 替代處理地點 | 服務優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1278 - 替代處理地點 | 準備使用 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1279 - 電信服務 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1280 - 電信服務 | 服務佈建優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1281 - 電信服務 | 服務佈建優先順序 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1282 - 電信服務 | 單一失敗點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1283 - 電信服務 | 隔離主要/替代提供者 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1284 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1285 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1286 - 電信服務 | 提供者應變計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1287 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1288 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1289 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1290 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1291 - 資訊系統備份 | 測試可靠性/完整性 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1292 - 資訊系統備份 | 使用取樣來測試還原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1293 - 資訊系統備份 | 隔離重要資訊的儲存體 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1294 - 資訊系統備份 | 移轉至替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1295 - 資訊系統復原和重建 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1296 - 資訊系統復原和重建 | 交易復原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1297 - 資訊系統復原和重建 | 在時間週期內還原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| 提供應變訓練 | CMA_0412 - 提供應變訓練 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃測試的結果 | CMA_C1262 - 檢閱應變計劃測試的結果 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| SQL Database 應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| SQL 受控執行個體應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| 在替代處理位置測試應變計劃 | CMA_C1265 - 在替代處理位置測試應變計劃 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
作業
識別碼:ENS v1 op.exp.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:將已啟用 Linux Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Linux Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定已啟用 Linux Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Linux Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果區域有支援,此原則便會安裝延伸模組。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.3.0-preview |
| [預覽]:將 Linux 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Linux VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.5.0-preview |
| [預覽]:將 Linux VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Linux 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Linux VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Linux 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.4.0-preview |
| [預覽]:將已啟用 Windows Arc 的機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將已啟用 Windows Arc 的機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:設定已啟用 Windows Arc 的機器,以安裝 ChangeTracking 和 Inventory 的 AMA | 自動在已啟用 Windows Arc 的機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域且已啟用系統指派的受控識別,則此原則會安裝延伸模組,否則會略過安裝。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows 虛擬機器設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows VM 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.1.0-preview |
| [預覽]:將 Windows VMSS 設定為與 ChangeTracking 和 Inventory 的資料收集規則相關聯 | 部署關聯,以將 Windows 虛擬機器擴展集連結至指定的資料收集規則,以啟用 ChangeTracking 和 Inventory。 當支援增加時,位置和 OS 映像的清單會隨之更新。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:將 Windows VMSS 設定為使用使用者指派的受控識別安裝 ChangeTracking 和 Inventory 的 AMA | 自動在 Windows 虛擬機器擴展集上部署 Azure 監視器代理程式延伸模組,以啟用 ChangeTracking 和 Inventory。 如果支援 OS 和區域,或用其他方法略過了安裝,則此原則會安裝延伸模組,並對其進行設定,以便利用使用者指派的受控識別。 深入了解:https://aka.ms/AMAOverview。 | DeployIfNotExists, Disabled | 1.1.0-preview |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1222 - 資訊系統元件詳細目錄 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1223 - 資訊系統元件詳細目錄 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1224 - 資訊系統元件詳細目錄 | 安裝/移除時的更新 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1225 - 資訊系統元件詳細目錄 | 自動化維護 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1226 - 資訊系統元件詳細目錄 | 自動化的未經授權元件偵測 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1227 - 資訊系統元件詳細目錄 | 自動化的未經授權元件偵測 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1228 - 資訊系統元件詳細目錄 | 責任資訊 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1229 - 資訊系統元件詳細目錄 | 無重複的元件記述 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1739 - 資訊系統詳細目錄 | Microsoft 會實作此程式管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1854 - 個人識別資訊詳細目錄 | Microsoft 會實作此安全性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1855 - 個人識別資訊清查 | Microsoft 會實作此安全性控制項 | 稽核 | 1.0.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
作業
識別碼:ENS v1 op.exp.10 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure Key Vault 受控 HSM 金鑰應具有到期日 | 若要在預覽中使用此原則,您必須先遵循以下位置的這些指示:https://aka.ms/mhsmgovernance。 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.1-preview |
| 對 Azure 資源具有擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Azure 資源具有讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 稽核密碼檔權限未設為 0644 的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果密碼檔案權限未設為 0644 的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| Azure 容器執行個體容器群組應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的容器。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | 稽核、停用、拒絕 | 1.0.0 |
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立密碼原則 | CMA_0256 - 建立密碼原則 | 手動、已停用 | 1.1.0 |
| 建立驗證器類型和程序 | CMA_0267 - 建立驗證器類型和程序 | 手動、已停用 | 1.1.0 |
| 建立初始驗證器散發的程序 | CMA_0276 - 建立初始驗證器散發的程序 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 實作密碼編譯機制 | CMA_C1419 - 實作密碼編譯機制 | 手動、已停用 | 1.1.0 |
| 實作記憶祕密檢查器的參數 | CMA_0321 - 實作記憶祕密檢查器的參數 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
| Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| 金鑰應採用硬體安全性模組 (HSM) | HSM 是儲存金鑰的硬體安全性模組。 HSM 提供密碼編譯金鑰的實體保護層。 若沒有提供比軟體金鑰更高層級的安全性,密碼編譯金鑰無法離開實體 HSM。 | Audit, Deny, Disabled | 1.0.1 |
| 金鑰應為指定的密碼編譯類型 RSA 或 EC | 某些應用程式需要使用由特定密碼編譯類型支援的金鑰。 在您環境中強制執行特定密碼編譯的金鑰類型 (RSA 或 EC)。 | Audit, Deny, Disabled | 1.0.1 |
| 管理驗證器存留期和重複使用 | CMA_0355 - 管理驗證器存留期和重複使用 | 手動、已停用 | 1.1.0 |
| 管理驗證器 | CMA_C1321 - 管理驗證器 | 手動、已停用 | 1.1.0 |
| 管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1133 - 保護稽核資訊 | 密碼編譯保護 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1345 - 密碼編譯模組驗證 | Microsoft 會實作此識別與驗證控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1419 - 遠端維護 | 密碼編譯保護 | Microsoft 會實作此維護控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1641 - 傳輸機密性和完整性 | 密碼編譯或替代實體保護 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1643 - 密碼編譯金鑰的建立和管理 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1644 - 密碼編譯金鑰的建立和管理 | 可用性 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1645 - 密碼編譯金鑰的建立和管理 | 對稱金鑰 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1664 - 待用資訊的保護 | 密碼編譯保護 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1645 - 產生、控制及散發對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 佇列儲存體應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰以更具彈性的方式保護您的佇列儲存體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
| 重新整理驗證器 | CMA_0425 - 重新整理驗證器 | 手動、已停用 | 1.1.0 |
| 為變更的群組和帳戶重新核發驗證器 | CMA_0426 - 為變更的群組和帳戶重新核發驗證器 | 手動、已停用 | 1.1.0 |
| 限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
| 表格儲存體應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰以更具彈性的方式保護您的表格儲存體。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Deny, Disabled | 1.0.0 |
| 終止客戶控制的帳號憑證 | CMA_C1022 - 終止客戶控制的帳號憑證 | 手動、已停用 | 1.1.0 |
| 散發驗證器之前先驗證身分識別 | CMA_0538 - 散發驗證器之前先驗證身分識別 | 手動、已停用 | 1.1.0 |
作業
識別碼:ENS v1 op.exp.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 強制執行軟體權限 | CMA_C1041 - 強制執行軟體權限 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作執行弱點掃描活動的特殊權限存取 | CMA_C1555 - 實作執行弱點掃描活動的特殊權限存取 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1174 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1175 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1219 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1220 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1221 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1230 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1231 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1232 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1233 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1234 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1235 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1236 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1237 - 軟體使用限制 | 開放原始碼軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1238 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1239 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1240 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1241 - 使用者安裝的軟體 | 未經授權安裝的警示 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1594 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1599 - 開發人員組態管理 | 軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1606 - 開發人員安全性測試和評估 | 威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1712 - 軟體 & 資訊完整性 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1713 - 軟體 & 資訊完整性 | 完整性檢查 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1714 - 軟體 & 資訊完整性 | 自動通知完整性違規 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1715 - 軟體 & 資訊完整性 | 自動化完整性違規回應 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1716 - 軟體 & 資訊完整性 | 整合偵測和回應 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1717 - 軟體 & 資訊完整性 | 二進位或機器可執行的程式碼 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1718 - 軟體 & 資訊完整性 | 二進位或機器可執行的程式碼 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1834 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1835 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1836 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1837 - 資料保留和處置 | 系統設定 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 限制未經授權的軟體和韌體安裝 | CMA_C1205 - 限制未經授權的軟體和韌體安裝 | 手動、已停用 | 1.1.0 |
| 限制使用開放原始碼軟體 | CMA_C1237 - 限制使用開放原始碼軟體 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 追蹤軟體授權使用量 | CMA_C1235 - 追蹤軟體授權使用量 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
作業
識別碼:ENS v1 op.exp.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為使用預設原則的新復原服務保存庫 | 在與虛擬機器相同的位置和資源群組中部署復原服務保存庫,以強制執行所有虛擬機器的備份。 當組織中的不同應用程式小組配置了不同的資源群組,且需要管理其本身的備份和還原時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMAppCentricBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將具有指定標籤之虛擬機器上的備份,設定為位於相同位置的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地納入包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupIncludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 將沒有指定標籤之虛擬機器上的備份,設定為相同位置中的現有復原服務保存庫 | 將虛擬機器備份至與虛擬機器相同的位置和訂用帳戶中的現有中央復原服務保存庫,以強制執行所有虛擬機器的備份。 當您的組織以中央小組管理訂用帳戶中所有資源的備份時,這樣做會很有用。 您可以選擇性地排除包含指定標籤的虛擬機器,以控制指派的範圍。 請參閱 https://aka.ms/AzureVMCentralBackupExcludeTag。 | auditIfNotExists、AuditIfNotExists、deployIfNotExists、DeployIfNotExists、disabled、Disabled | 9.3.0 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 強制執行軟體權限 | CMA_C1041 - 強制執行軟體權限 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立替代儲存網站以儲存並擷取備份資訊 | CMA_C1267 - 建立替代儲存網站以儲存並擷取備份資訊 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作執行弱點掃描活動的特殊權限存取 | CMA_C1555 - 實作執行弱點掃描活動的特殊權限存取 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 應為 Azure SQL Database 啟用長期異地備援備份 | 此原則會稽核所有未啟用長期異地備援備份的 Azure SQL Database。 | AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft 管理控制項 1132 - 保護稽核資訊 | 在不同的實體系統/元件上稽核備份 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1174 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1175 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1219 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1220 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1221 - 最少的功能 | 已授權的軟體/加入允許名單 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1230 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1231 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1232 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1233 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1234 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1235 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1236 - 軟體使用限制 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1237 - 軟體使用限制 | 開放原始碼軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1238 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1239 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1240 - 使用者安裝的軟體 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1241 - 使用者安裝的軟體 | 未經授權安裝的警示 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1287 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1288 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1289 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1290 - 資訊系統備份 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1291 - 資訊系統備份 | 測試可靠性/完整性 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1292 - 資訊系統備份 | 使用取樣來測試還原 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1293 - 資訊系統備份 | 隔離重要資訊的儲存體 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1294 - 資訊系統備份 | 移轉至替代儲存地點 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1594 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1599 - 開發人員組態管理 | 軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1606 - 開發人員安全性測試和評估 | 威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1712 - 軟體 & 資訊完整性 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1713 - 軟體 & 資訊完整性 | 完整性檢查 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1714 - 軟體 & 資訊完整性 | 自動通知完整性違規 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1715 - 軟體 & 資訊完整性 | 自動化完整性違規回應 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1716 - 軟體 & 資訊完整性 | 整合偵測和回應 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1717 - 軟體 & 資訊完整性 | 二進位或機器可執行的程式碼 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理的控制措施 1718 - 軟體 & 資訊完整性 | 二進位或機器可執行的程式碼 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.1 |
| Microsoft 管理控制項 1834 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1835 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1836 - 資料保留和處置 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1837 - 資料保留和處置 | 系統設定 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 限制未經授權的軟體和韌體安裝 | CMA_C1205 - 限制未經授權的軟體和韌體安裝 | 手動、已停用 | 1.1.0 |
| 限制使用開放原始碼軟體 | CMA_C1237 - 限制使用開放原始碼軟體 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 個別存放備份資訊 | CMA_C1293 - 個別存放備份資訊 | 手動、已停用 | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| SQL Database 應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,資料庫應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| SQL 受控執行個體應避免使用 GRS 備份備援 | 如果資料落地規則需要資料保持在特定區域內,受控執行個體應該避免使用預設異地備援儲存體進行備份。 注意:使用 T-SQL 建立資料庫時,不會強制執行 Azure 原則。 若未明確指定,透過 T-SQL 建立的資料庫會使用異地備援備份儲存體。 | 稽核, 拒絕, 停用 | 2.0.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 追蹤軟體授權使用量 | CMA_C1235 - 追蹤軟體授權使用量 | 手動、已停用 | 1.1.0 |
| 將備份資訊傳輸到替代儲存站台 | CMA_C1294 - 將備份資訊傳輸到替代儲存網站 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
作業
識別碼:ENS v1 op.exp.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 使用 Python 的 App Service 應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 自動化遠端維護活動 | CMA_C1402 - 自動化遠端維護活動 | 手動、已停用 | 1.1.0 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 實作執行弱點掃描活動的特殊權限存取 | CMA_C1555 - 實作執行弱點掃描活動的特殊權限存取 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1174 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1175 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1230 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1231 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1232 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1233 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1594 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1599 - 開發人員組態管理 | 軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1606 - 開發人員安全性測試和評估 | 威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 產生完整的遠端維護活動記錄 | CMA_C1403 - 產生完整的遠端維護活動記錄 | 手動、已停用 | 1.1.0 |
| 提供及時維護支援 | CMA_C1425 - 提供及時維護支援 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
作業
識別碼:ENS v1 op.exp.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 為辦公室、工作區域及安全區域實作實體安全性 | CMA_0323 - 為辦公室、工作區域及安全區域實作實體安全性 | 手動、已停用 | 1.1.0 |
| 實作執行弱點掃描活動的特殊權限存取 | CMA_C1555 - 實作執行弱點掃描活動的特殊權限存取 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 安裝警報系統 | CMA_0338 - 安裝警報系統 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1174 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1175 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1230 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1231 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1232 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1233 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1594 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1599 - 開發人員組態管理 | 軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1606 - 開發人員安全性測試和評估 | 威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
作業
識別碼:ENS v1 op.exp.6 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 雲端服務 (延伸支援) 角色執行個體應安裝 Endpoint Protection 解決方案 | 確認已安裝 Endpoint Protection 解決方案,以保護您的雲端服務 (延伸支援) 角色執行個體免於威脅與弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
| 設定已啟用 Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender | 設定已啟用 Windows Arc 的 SQL Server 以自動安裝適用於 SQL 的 Microsoft Defender 代理程式。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 | DeployIfNotExists, Disabled | 1.2.0 |
| 設定已啟用 Arc 的 SQL Server 以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中,建立資源群組、資料收集規則和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.5.0 |
| 設定已啟用 Arc 的 SQL Server 以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。 | DeployIfNotExists, Disabled | 1.7.0 |
| 使用與適用於 SQL DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server | 設定已啟用 Arc 的 SQL Server 與適用於 SQL DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。 | DeployIfNotExists, Disabled | 1.1.0 |
| 使用與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 的資料收集規則關聯來設定已啟用 Arc 的 SQL Server | 設定已啟用 Arc 的 SQL Server 與適用於 SQL 使用者定義 DCR 的 Microsoft Defender 之間的關聯。 刪除此關聯將會中斷此已啟用 Arc 的 SQL Server 的安全性弱點偵測。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定要啟用之適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於 Azure SQL 資料庫的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定要啟用的適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定要啟用的適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定在 SQL 受控執行個體上啟用 Azure Defender | 在 Azure SQL 受控執行個體上啟用 Azure Defender,以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | DeployIfNotExists, Disabled | 2.0.0 |
| 設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.Defender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請深入了解適用於容器的 Microsoft Defender:https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks。 | DeployIfNotExists, Disabled | 4.2.0 |
| 設定要啟用的基本適用於儲存體的 Microsoft Defender (僅限活動監視) | 適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 此原則會啟用基本適用於儲存體的 Defender 功能 (活動監視)。 若要啟用完整保護,其中也包含上傳惡意程式碼掃描和敏感性資料威脅偵測,請使用完整啟用原則:aka.ms/DefenderForStoragePolicy。 若要深入了解適用於儲存體的 Defender 功能和優點,請造訪 aka.ms/DefenderForStorage。 | DeployIfNotExists, Disabled | 1.1.0 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 設定要啟用的 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.2 |
| 設定要啟用的適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | DeployIfNotExists, Disabled | 1.0.1 |
| 設定適用於 Key Vault 的 Microsoft Defender 方案 | 適用於 Key Vault 的 Microsoft Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | DeployIfNotExists, Disabled | 1.1.0 |
| 將適用於 SQL 的 Microsoft Defender 設定為在 Synapse 工作區上啟用 | 在 Azure Synapse 工作區上啟用適用於 SQL 的 Microsoft Defender,以偵測異常活動,指出異常且可能有害的嘗試存取或利用 SQL 資料庫。 | DeployIfNotExists, Disabled | 1.0.0 |
| 設定要啟用的適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | DeployIfNotExists, Disabled | 1.0.2 |
| 設定要啟用的適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 是 Azure 原生安全性智慧層級,用於偵測儲存體帳戶中的潛在威脅。 此原則會啟用所有適用於儲存體的 Defender 功能;活動監視、惡意程式碼掃描和敏感性資料威脅偵測。 若要深入了解適用於儲存體的 Defender 功能和優點,請造訪 aka.ms/DefenderForStorage。 | DeployIfNotExists, Disabled | 1.3.0 |
| 設定 SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender | 設定 Windows SQL 虛擬機器以自動安裝適用於 SQL 的 Microsoft Defender 延伸模組。 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 | DeployIfNotExists, Disabled | 1.4.0 |
| 設定 SQL 虛擬機器以使用 Log Analytics 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中,建立資源群組、資料收集規則和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.6.0 |
| 設定 SQL 虛擬機器以使用使用者定義的 LA 工作區自動安裝適用於 SQL 和 DCR 的 Microsoft Defender | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與使用者定義的 Log Analytics 工作區相同的區域中建立資源群組和資料收集規則。 | DeployIfNotExists, Disabled | 1.7.0 |
| 設定適用於 SQL 的 Microsoft Defender 的 Log Analytics 工作區 | 適用於 SQL 的 Microsoft Defender 會從代理程式收集事件,並將其用來提供安全性警示和量身訂作的強化工作 (建議)。 在與機器相同的區域中建立資源群組和 Log Analytics 工作區。 | DeployIfNotExists, Disabled | 1.3.0 |
| 控制維修及修復活動 | CMA_0080 - 控制維修及修復活動 | 手動、已停用 | 1.1.0 |
| 在儲存體帳戶上部署適用於儲存體的 Defender (傳統) | 此原則會在儲存體帳戶上啟用適用於儲存體的 Defender (傳統)。 | DeployIfNotExists, Disabled | 1.0.1 |
| 針對適用於雲端的 Microsoft Defender 資料,以信任的服務形式將匯出部署至事件中樞 | 將適用於雲端的 Microsoft Defender 資料以信任的服務形式匯出至事件中樞。 此原則會在指派的範圍內,使用您的條件和目標事件中樞,以信任的服務組態形式將匯出部署至事件中樞。 若要在新建立的訂用帳戶上部署此原則,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | DeployIfNotExists, Disabled | 1.0.0 |
| 在您的訂閱上啟用適用於雲端的 Microsoft Defender | 識別未受適用於雲端的 Microsoft Defender 監視的現有訂閱,並使用適用於雲端的 Defender 免費功能保護這些訂閱。 已受監視的訂閱則視為符合規範。 若要註冊新建立的訂閱,請開啟 [合規性] 索引標籤,選取不符合規範的相關指派,並建立補救工作。 | deployIfNotExists | 1.0.1 |
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 管理非本機維護和診斷活動 | CMA_0364 - 管理非本機維護和診斷活動 | 手動、已停用 | 1.1.0 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為已啟用 Arc 的 SQL Servers 保護適用於 SQL 的 Microsoft Defender 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 這有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的價格結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 提供定期安全性意識訓練 | CMA_C1091 - 提供定期安全性意識訓練 | 手動、已停用 | 1.1.0 |
| 為新使用者提供安全性訓練 | CMA_0419 - 為新使用者提供安全性訓練 | 手動、已停用 | 1.1.0 |
| 每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
| 每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| 更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
| Windows 電腦應設定 Windows Defender 在一天內更新保護簽章 | 若要提供足夠的保護以抵禦新發行的惡意程式碼,Windows Defender 保護簽章必須定期更新以應對新發行的惡意程式碼。 此原則不會套用至 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
| Windows 電腦應啟用 Windows Defender 即時保護 | Windows 電腦應啟用 Windows Defender 中的即時保護,提供足夠的保護以抵禦新發行的惡意程式碼。 此原則不適用於 Arc 連線的伺服器,而且會要求必須已將來賓設定必要條件部署至原則指派範圍。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.1 |
作業
識別碼:ENS v1 op.exp.7 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解決資訊安全性問題 | CMA_C1742 - 解決資訊安全性問題 | 手動、已停用 | 1.1.0 |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 進行事件回應測試 | CMA_0060 - 進行事件回應測試 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 向人員發出安全性警示 | CMA_C1705 - 向人員發出安全性警示 | 手動、已停用 | 1.1.0 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立威脅情報計畫 | CMA_0260 - 建立威脅情報計畫 | 手動、已停用 | 1.1.0 |
| 建立事件回應功能與外部提供者之間的關係 | CMA_C1376 - 建立事件回應功能與外部提供者之間的關係 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 產生內部安全性警示 | CMA_C1704 - 產生內部安全性警示 | 手動、已停用 | 1.1.0 |
| 識別事件回應人員 | CMA_0301 - 識別事件回應人員 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 實作事件處理功能 | CMA_C1367 - 實作事件處理功能 | 手動、已停用 | 1.1.0 |
| 實作安全性指示詞 | CMA_C1706 - 實作安全性指示詞 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 隔離 SecurID 系統、安全性事件管理系統 | CMA_C1636 - 隔離 SecurID 系統、安全性事件管理系統 | 手動、已停用 | 1.1.0 |
| Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理授權機構和特殊利益團體的連絡人 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1351 - 事件回應原則和程序 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1352 - 事件回應原則和程序 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1353 - 事件回應訓練 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1354 - 事件回應訓練 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1355 - 事件回應訓練 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制項 1356 - 事件回應訓練 | 模擬的事件 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1357 - 事件回應訓練 | 自動化訓練環境 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1358 - 事件回應測試 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1359 - 事件回應測試 | 協調相關計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1360 - 事件處理 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1361 - 事件處理 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1362 - 事件處理 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1363 - 事件處理 | 自動化事件處理流程 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1364 - 事件處理 | 動態重新設定 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1365 - 事件處理 | 作業持續性 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1366 - 事件處理 | 資訊相互關聯 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1367 - 事件處理 | 內部威脅 - 特定功能 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1368 - 事件處理 | 與外部組織相互關聯 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1369 - 事件監視 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1370 - 事件監視 | 自動化追蹤/資料收集/分析 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1371 - 事件報告 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1372 - 事件報告 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1373 - 事件報告 | 自動化報告 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1374 - 事件回應協助 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1375 - 事件回應協助 | 資訊/支援可用性的自動化支援 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1376 - 事件回應協助 | 與外部提供者的協調合作 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1377 - 事件回應協助 | 與外部提供者的協調合作 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1378 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1379 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1380 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1381 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1382 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1383 - 事件回應計劃 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1384 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1385 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1386 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1387 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1388 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1389 - 資訊洩漏應對 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1390 - 資訊洩漏應對 | 應對負責人員 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1391 - 資訊洩漏應對 | 訓練 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1392 - 資訊洩漏應對 | 外洩後作業 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1393 - 資訊洩漏應對 | 向未經授權的人員公開 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1728 - 事件處理 | Microsoft 會實作此事件回應控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1856 - 隱私權事件回應 | Microsoft 會實作此安全性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1857 - 隱私權事件回應 | Microsoft 會實作此安全性控制項 | 稽核 | 1.0.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 保護事件回應計劃 | CMA_0405 - 保護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時,重新建立活動軌跡以供調查之用,您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。 請遵照這裡的指示進行:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
作業
識別碼:ENS v1 op.exp.8 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:列出的虛擬機器映像應啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1-preview |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| App Service 應用程式插槽應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 稽核所選取資源類型的診斷設定 | 稽核所選資源類型的診斷設定。 務必只選取支援診斷設定的資源類型。 | AuditIfNotExists | 2.0.1 |
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 授權、監視及控制 VoIP | CMA_0025 - 授權、監視及控制 VoIP | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| Azure SignalR 服務應該啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Web PubSub 服務應該啟用診斷記錄 | 稽核診斷記錄的啟用情形。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 1.0.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 將稽核記錄編譯為全系統稽核 | CMA_C1140 - 將稽核記錄編譯為全系統稽核 | 手動、已停用 | 1.1.0 |
| 針對記錄的特權命令進行全文檢索分析 | CMA_0056 - 針對記錄的特權命令進行全文檢索分析 | 手動、已停用 | 1.1.0 |
| 設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 應為列出的虛擬機器映像啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Dependency Agent | 若虛擬機器映像不在定義的清單中,而且未安裝代理程式,便會將虛擬機器擴展集回報為不符合規範。 更新支援時,OS 映像的清單會隨之更新。 | AuditIfNotExists, Disabled | 2.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 記錄處理個人資訊的法律基礎 | CMA_0206 - 記錄處理個人資訊的法律基礎 | 手動、已停用 | 1.1.0 |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 強制執行並稽核存取限制 | CMA_C1203 - 強制執行並稽核存取限制 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 為消費者要求實作方法 | CMA_0319 - 為消費者要求實作方法 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 應在所列出虛擬機器映像的虛擬機器擴展集中啟用 Log Analytics 延伸模組 | 若虛擬機器映像不在定義的清單中,而且未安裝延伸模組,便會將虛擬機器擴展集回報為不符合規範。 | AuditIfNotExists, Disabled | 2.0.1 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 監視帳戶活動 | CMA_0377 - 監視帳戶活動 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 取得監視系統活動的法律意見 | CMA_C1688 - 取得監視系統活動的法律意見 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 視需要提供監視資訊 | CMA_C1689 - 視需要提供監視資訊 | 手動、已停用 | 1.1.0 |
| 發佈 SORN 中的存取程序 | CMA_C1848 - 發佈 SORN 中的存取程序 | 手動、已停用 | 1.1.0 |
| 發佈存取隱私權法記錄的規則與法規 | CMA_C1847 - 發佈存取隱私權法記錄的規則與法規 | 手動、已停用 | 1.1.0 |
| 應啟用 Azure Kubernetes Service 中的資源記錄 | Azure Kubernetes Service 的資源記錄有助於在調查安全性事件時重新建立活動線索。 將其啟用以確定記錄會在需要時存在 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱及更新 AU-02 中定義的事件 | CMA_C1106 - 檢閱及更新 AU-02 中定義的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱變更中是否有任何未經授權的變更 | CMA_C1204 - 檢閱變更中是否有任何未經授權的變更 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 對儲存體帳戶目的地進行 SQL 稽核的 Synapse 工作區保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 Synapse 工作區 SQL 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 2.0.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
| 在稽核記錄上使用系統時鐘 | CMA_0535 - 在稽核記錄上使用系統時鐘 | 手動、已停用 | 1.1.0 |
作業
識別碼:ENS v1 op.exp.9 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
外部資源
識別碼:ENS v1 op.ext.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
外部資源
識別碼:ENS v1 op.ext.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
外部資源
識別碼:ENS v1 op.ext.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1608 - 供應鏈保護 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
外部資源
識別碼:ENS v1 op.ext.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在沒有任何身分識別的虛擬機器上新增系統指派的受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),但是沒有任何受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 在具有使用者指派身分識別的 VM 上新增系統指派受控識別,以啟用客體設定指派 | 此原則會將系統指派的受控識別新增至 Azure 中裝載的虛擬機器 (受客體設定支援),而且至少有一個使用者指派的身分識別,但是沒有系統指派的受控識別。 系統指派的受控識別是所有客體設定指派的必要條件,必須先新增到電腦,才能使用任何客體設定原則定義。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | 修改 | 4.1.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 稽核允許不使用密碼從帳戶遠端連線的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果允許不使用密碼從帳戶遠端連線的 Linux 電腦,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核有不需要密碼之帳戶的 Linux 電腦 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果 Linux 電腦有不需要密碼的帳戶,則電腦不相容 | AuditIfNotExists, Disabled | 3.1.0 |
| 稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 部署 Linux 來賓設定延伸模組,以在 Linux 虛擬機器上啟用來賓設定指派 | 此原則會將受客體設定支援的 Linux 客體設定延伸模組部署至裝載於 Azure 的 Linux 虛擬機器主機。 Linux 客體設定延伸模組是所有 Linux 客體設定指派的必要條件,要使用任何 Linux 客體設定原則定義前,都必須先將此延伸模組部署到電腦上。 如需有關客體設定的詳細資訊,請造訪 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 啟用網路裝置的偵測 | CMA_0220 - 啟用網路裝置的偵測 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別在沒有驗證的情況下允許的動作 | CMA_0295 - 識別在沒有驗證的情況下允許的動作 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
系統監視
識別碼:ENS v1 op.mon.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| 稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 明確通知使用共同作業運算裝置 | CMA_C1649 - 明確通知使用共同作業運算裝置 | 手動、已停用 | 1.1.1 |
| 應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| Microsoft 管理的控制措施 1464 - 監視實體存取 | 入侵警報/監視設備 | Microsoft 會實作此實體和環境保護控制 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1690 - 資訊系統監視 | 全系統的入侵偵測系統 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1695 - 資訊系統監視 | 無線入侵偵測 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1829 - 資料完整性和資料完整性面板 | 在網站上發佈合約 | Microsoft 會實作資料品質和完整性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1865 - 記錄系統通知和隱私權法案聲明 | 公用網站發佈 | Microsoft 會實作此透明度控制項 | 稽核 | 1.0.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 禁止遠端啟用共同作業運算裝置 | CMA_C1648 - 禁止遠端啟用共同作業運算裝置 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 在公用網站上發佈電腦比對合約 | CMA_C1829 - 在公用網站上發佈電腦比對合約 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
系統監視
識別碼:ENS v1 op.mon.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
系統監視
識別碼:ENS v1 op.mon.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 設定機器以接收弱點評定提供者 | Azure Defender 包含機器的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 當您啟用此原則時,Azure Defender 會自動將 Qualys 弱點評估提供者部署到尚未安裝的所有支援機器。 | DeployIfNotExists, Disabled | 4.0.0 |
| 設定要啟用的適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | DeployIfNotExists, Disabled | 1.0.0 |
| 相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
| 建立威脅情報計畫 | CMA_0260 - 建立威脅情報計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 實作執行弱點掃描活動的特殊權限存取 | CMA_C1555 - 實作執行弱點掃描活動的特殊權限存取 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft 管理控制項 1174 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1175 - 組態管理原則和程序 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1230 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1231 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1232 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1233 - 組態管理計劃 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1594 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1595 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1596 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1597 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1598 - 開發人員組態管理 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1599 - 開發人員組態管理 | 軟體/韌體完整性驗證 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1606 - 開發人員安全性測試和評估 | 威脅和弱點分析 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 應選取資訊安全中心標準定價層 | 標準定價層會為網路及虛擬機器啟用威脅偵測,在 Azure 資訊安全中心提供威脅情報、異常偵測及行為分析 | Audit, Disabled | 1.1.0 |
| 設定訂用帳戶以轉換至替代弱點評量解決方案 | 適用於雲端的 Microsoft Defender 提供機器的弱點掃描,不需額外費用。 啟用此原則會導致適用於雲端的 Defender 自動將結果從內建 Microsoft Defender 弱點管理解決方案傳播到所有支援的機器。 | DeployIfNotExists, Disabled | 1.0.0-preview |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的 Synapse 工作區上啟用弱點評量 | 在您的 Synapse 工作區上設定週期性 SQL 弱點評量掃描,以探索、追蹤及補救潛在弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
雲端服務
識別碼:ENS v1 op.nub.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 應安全地設定雲端服務 (延伸支援) 角色執行個體 | 確認您的雲端服務 (延伸支援) 角色執行個體未暴露任何 OS 弱點,以保護其免於遭受攻擊。 | AuditIfNotExists, Disabled | 1.0.0 |
| 雲端服務 (延伸支援) 角色執行個體應安裝 Endpoint Protection 解決方案 | 確認已安裝 Endpoint Protection 解決方案,以保護您的雲端服務 (延伸支援) 角色執行個體免於威脅與弱點。 | AuditIfNotExists, Disabled | 1.0.0 |
| 雲端服務 (延伸支援) 角色執行個體應安裝系統更新 | 確認已安裝最新的安全性與重大更新,以保護您的雲端服務 (延伸支援) 角色執行個體。 | AuditIfNotExists, Disabled | 1.0.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| Log Analytics 代理程式應安裝於您的雲端服務 (延伸支援) 角色執行個體 | 資訊安全中心會從您的雲端服務 (延伸支援) 角色執行個體收集資料,以監視是否存在安全性弱點及威脅。 | AuditIfNotExists, Disabled | 2.0.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
規劃
識別碼:ENS v1 op.pl.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 指派風險指定 | CMA_0016 - 指派風險指定 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_C1543 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 進行風險評量並散發其結果 | CMA_C1544 - 進行風險評量並散發其結果 | 手動、已停用 | 1.1.0 |
| 進行風險評量並記錄其結果 | CMA_C1542 - 進行風險評量並記錄其結果 | 手動、已停用 | 1.1.0 |
| 設定要啟用的 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | DeployIfNotExists, Disabled | 1.0.2 |
| 開發 POA&M | CMA_C1156 - 開發 POA&M | 手動、已停用 | 1.1.0 |
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 實作風險管理策略 | CMA_C1744 - 實作風險管理策略 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft 管理控制項 1026 - 帳戶管理 | 停用高風險個人版的帳戶 | Microsoft 會實作此存取控制控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1182 - 基準組態 | 設定高風險區域的系統、元件或裝置 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1183 - 基準組態 | 設定高風險區域的系統、元件或裝置 | Microsoft 會實作此組態管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1536 - 風險評量原則和程序 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1537 - 風險評量原則和程序 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1538 - 安全性分類 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1539 - 安全性分類 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1540 - 安全性分類 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1541 - 風險評量 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1542 - 風險評量 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1543 - 風險評量 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1544 - 風險評量 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1545 - 風險評量 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1546 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1547 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1548 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1549 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1550 - 弱點掃描 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1551 - 弱點掃描 | 更新工具功能 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1552 - 弱點掃描 | 依頻率/進行新掃描之前/在識別時進行更新 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1553 - 弱點掃描 | 涵蓋範圍的廣度/深度 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1554 - 弱點掃描 | 可探索的資訊 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1555 - 弱點掃描 | 具特殊權限的存取 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1556 - 弱點掃描 | 自動化趨勢分析 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1557 - 弱點掃描 | 檢閱歷史稽核記錄 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1558 - 弱點掃描 | 將掃描資訊相互關聯 | Microsoft 會實作此風險評估控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1589 - 外部資訊系統服務 | 風險評量/組織核准 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1590 - 外部資訊系統服務 | 風險評量/組織核准 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理的控制措施 1698 - 資訊系統監視 | 具有較大風險的個人 | Microsoft 會實作此系統和資訊完整性控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1743 - 風險管理策略 | Microsoft 會實作此程式管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1744 - 風險管理策略 | Microsoft 會實作此程式管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1745 - 風險管理策略 | Microsoft 會實作此程式管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1802 - 治理與隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1803 - 治理與隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1804 - 治理和隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1805 - 治理與隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1806 - 治理與隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1807 - 治理與隱私權計畫 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1808 - 隱私權影響與風險評定 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1809 - 隱私權影響與風險評定 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1810 - 承包商和服務提供者的隱私權需求 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1811 - 承包商和服務提供者的隱私權需求 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1812 - 隱私權監視和稽核 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1813 - 隱私權意識和訓練 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1814 - 隱私權意識和訓練 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1815 - 隱私權意識和訓練 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1816 - 隱私權報告 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1817 - 隱私權增強的系統設計和開發 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1818 - 揭露計量 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1819 - 揭露計量 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1820 - 揭露計量 | Microsoft 會實作此責任、稽核和風險管理控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1840 - 最小化測試、訓練和研究中使用的 PII | 風險最小化技術 | Microsoft 會實作此資料最少化和保留控制項 | 稽核 | 1.0.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 更新 POA&M 項目 | CMA_C1157 - 更新 POA&M 項目 | 手動、已停用 | 1.1.0 |
規劃
識別碼:ENS v1 op.pl.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 建立資料庫存 | CMA_0096 - 建立資料庫存 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 開發企業架構 | CMA_C1741 - 開發企業架構 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立並維護資產清查 | CMA_0266 - 建立並維護資產清查 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 維護個人資料的處理記錄 | CMA_0353 - 維護個人資料的處理記錄 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1503 - 資訊安全性架構 | Microsoft 會實作此規劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1504 - 資訊安全性架構 | Microsoft 會實作此規劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1505 - 資訊安全性架構 | Microsoft 會實作此規劃控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1612 - 開發人員安全性架構和設計 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1613 - 開發人員安全性架構和設計 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1614 - 開發人員安全性架構和設計 | Microsoft 會實作此系統和服務擷取控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1659 - 名稱/位址解析服務的架構和佈建 | Microsoft 會實作此系統和通訊保護控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1741 - 企業結構 | Microsoft 會實作此程式管理控制項 | 稽核 | 1.0.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 執行資訊輸入驗證 | CMA_C1723 - 執行資訊輸入驗證 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 需要開發人員建置安全性架構 | CMA_C1612 - 需要開發人員建置安全性架構 | 手動、已停用 | 1.1.0 |
| 需要開發人員描述正確的安全性功能 | CMA_C1613 - 要求開發人員描述正確的安全性功能 | 手動、已停用 | 1.1.0 |
| 需要開發人員提供統一的安全性保護方法 | CMA_C1614 - 需要開發人員提供統一的安全性保護方法 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊安全性架構 | CMA_C1504 - 檢閱並更新資訊安全性架構 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
規劃
識別碼:ENS v1 op.pl.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定操作概念文件 (CONOPS) | CMA_0141 - 制定操作概念文件 (CONOPS) | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 開發符合準則的 SSP | CMA_C1492 - 開發符合準則的 SSP | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別並驗證非組織使用者 | CMA_C1346 - 識別及驗證非組織使用者 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊安全性架構 | CMA_C1504 - 檢閱並更新資訊安全性架構 | 手動、已停用 | 1.1.0 |
| 檢閱開發程式、標準和工具 | CMA_C1610 - 檢閱開發程式、標準和工具 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
規劃
識別碼:ENS v1 op.pl.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 執行容量規劃 | CMA_C1252 - 執行容量規劃 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 管理可用性和容量 | CMA_0356 - 管理可用性與容量 | 手動、已停用 | 1.1.0 |
| Microsoft 管理控制項 1110 - 稽核儲存體容量 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1113 - 回應稽核處理失敗 | 稽核儲存體容量 | Microsoft 會實作此稽核和責任控制項 | 稽核 | 1.0.0 |
| Microsoft 管理控制項 1252 - 應變計劃 | 容量計劃 | Microsoft 會實作此應變計劃控制項 | 稽核 | 1.0.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
規劃
識別碼:ENS v1 op.pl.5 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評估協力廠商關聯性中的風險 | CMA_0014 - 評估協力廠商關聯性中的風險 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 定義供應商品及服務的需求 | CMA_0126 - 定義供應商品及服務的需求 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 建立供應鏈風險管理的原則 | CMA_0275 - 建立供應鏈風險管理的原則 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
組織架構
組織架構
識別碼:ENS v1 org.1 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 執行資訊系統文件的備份 | CMA_C1289 - 執行資訊系統文件的備份 | 手動、已停用 | 1.1.0 |
| 控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
| 使用相關方案協調應變計劃 | CMA_0086 - 使用相關方案協調應變計劃 | 手動、已停用 | 1.1.0 |
| 建立設定計劃保護 | CMA_C1233 - 建立設定計劃保護 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 指定個人以履行特定角色和責任 | CMA_C1747 - 指定個人以履行特定角色和責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 開發設定項目識別計畫 | CMA_C1231 - 開發設定項目識別計畫 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄並實作隱私權合規程序 | CMA_0189 - 記錄並實作隱私權合規程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性強度需求 | CMA_0203 - 記錄收購合約中的安全性強度需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 確認資訊系統在已知狀態下失敗 | CMA_C1662 - 確認資訊系統在已知狀態下失敗 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立備份原則和程序 | CMA_0268 - 建立備份原則和程序 | 手動、已停用 | 1.1.0 |
| 建立承包商和服務提供者的隱私權需求 | CMA_C1810 - 建立承包商和服務提供者的隱私權需求 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 實作正式制裁流程 | CMA_0317 - 實作正式制裁流程 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 實作交易式復原 | CMA_C1296 - 實作交易式復原 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 管理合規性活動 | CMA_0358 - 管理合規性活動 | 手動、已停用 | 1.1.0 |
| 執行資訊系統的安全性狀態 | CMA_C1746 - 執行資訊系統的安全性狀態 | 手動、已停用 | 1.1.0 |
| 管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
| 監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
| 制裁時通知人員 | CMA_0380 - 制裁時通知人員 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 要求遵守智慧財產權 | CMA_0432 - 要求遵守智慧財產權 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
| 要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 追蹤軟體授權使用量 | CMA_C1235 - 追蹤軟體授權使用量 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
組織架構
識別碼:ENS v1 org.2 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 評估資訊安全性事件 | CMA_0013 - 評估資訊安全性事件 | 手動、已停用 | 1.1.0 |
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 建立內部連線之前先檢查隱私權及安全性合規性 | CMA_0053 - 建立內部連線之前先檢查隱私權及安全性合規性 | 手動、已停用 | 1.1.0 |
| 離職時進行離職面試 | CMA_0058 - 離職時進行離職面試 | 手動、已停用 | 1.1.0 |
| 設定偵測允許清單 | CMA_0068 - 設定偵測允許清單 | 手動、已停用 | 1.1.0 |
| 關聯稽核記錄 | CMA_0087 - 關聯稽核記錄 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 探索任何洩露的指標 | CMA_C1702 - 探索任何洩露的指標 | 手動、已停用 | 1.1.0 |
| 向人員發出安全性警示 | CMA_C1705 - 向人員發出安全性警示 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 啟用網路保護 | CMA_0238 - 啟用網路保護 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認在個人返回時不需要安全性保護 | CMA_C1183 - 確認在個人返回時不需要安全性保護 | 手動、已停用 | 1.1.0 |
| 消除洩漏的資訊 | CMA_0253 - 消除洩漏的資訊 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立威脅情報計畫 | CMA_0260 - 建立威脅情報計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立稽核檢閱和報告的需求 | CMA_0277 - 建立稽核檢閱和報告的需求 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 執行動作以回應資訊洩漏 | CMA_0281 - 執行動作以回應資訊洩漏 | 手動、已停用 | 1.1.0 |
| 產生內部安全性警示 | CMA_C1704 - 產生內部安全性警示 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 實作事件處理 | CMA_0318 - 實作事件處理 | 手動、已停用 | 1.1.0 |
| 實作安全性指示詞 | CMA_C1706 - 實作安全性指示詞 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 將缺陷補救納入組態管理中 | CMA_C1671 - 將缺陷補救納入組態管理中 | 手動、已停用 | 1.1.0 |
| 起始調職或重新指派動作 | CMA_0333 - 起始調職或重新指派動作 | 手動、已停用 | 1.1.0 |
| 整合稽核檢閱、分析及報告 | CMA_0339 - 整合稽核檢閱、分析及報告 | 手動、已停用 | 1.1.0 |
| 整合 Cloud App Security 與 SIEM | CMA_0340 - 整合 Cloud App Security 與 SIEM | 手動、已停用 | 1.1.0 |
| 維護資料外洩記錄 | CMA_0351 - 維護資料外洩記錄 | 手動、已停用 | 1.1.0 |
| 維護事件回應計劃 | CMA_0352 - 維護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理授權機構和特殊利益團體的連絡人 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 在人事調動時修改存取授權 | CMA_0374 - 在人事調動時修改存取授權 | 手動、已停用 | 1.1.0 |
| 不允許資訊系統隨附於個人 | CMA_C1182 - 不允許資訊系統隨附於個人 | 手動、已停用 | 1.1.0 |
| 在離職或調職時通知 | CMA_0381 - 在離職或調職時通知 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
| 防止和預防離職員工竊取資料 | CMA_0398 - 防止和預防離職員工竊取資料 | 手動、已停用 | 1.1.0 |
| 保護事件回應計劃 | CMA_0405 - 保護事件回應計劃 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 在人員轉調時重新評估存取權 | CMA_0424 - 在人員轉調時重新評估存取權 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 回報使用者帳戶的非慣用行為 | CMA_C1025 - 回報使用者帳戶的非慣用行為 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 每週檢閱系統管理員指派 | CMA_0461 - 每週檢閱系統管理員指派 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| 檢閱雲端識別報告概觀 | CMA_0468 - 檢閱雲端識別報告概觀 | 手動、已停用 | 1.1.0 |
| 檢閱受控資料夾存取事件 | CMA_0471 - 檢閱受控資料夾存取事件 | 手動、已停用 | 1.1.0 |
| 檢閱檔案和資料夾活動 | CMA_0473 - 檢閱檔案和資料夾活動 | 手動、已停用 | 1.1.0 |
| 每週檢閱角色群組變更 | CMA_0476 - 每週檢閱角色群組變更 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 檢視和調查受限的使用者 | CMA_0545 - 檢視和調查受限的使用者 | 手動、已停用 | 1.1.0 |
組織架構
識別碼:ENS v1 org.3 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 評定安全性控制項 | CMA_C1145 - 評定安全性控制項 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 傳遞安全性評量結果 | CMA_C1147 - 傳遞安全性評量結果 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 制定組織管理辦法原則 | CMA_0159 - 制定組織管理辦法原則 | 手動、已停用 | 1.1.0 |
| 開發安全性評量計劃 | CMA_C1144 - 開發安全性評量計劃 | 手動、已停用 | 1.1.0 |
| 開發安全性保護 | CMA_0161 - 開發安全性保護 | 手動、已停用 | 1.1.0 |
| 散發資訊系統文件 | CMA_C1584 - 散發資訊系統文件 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄客戶定義的動作 | CMA_C1582 - 記錄客戶定義的動作 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄組織存取合約 | CMA_0192 - 記錄組織存取合約 | 手動、已停用 | 1.1.0 |
| 記錄人員接受隱私權需求的情況 | CMA_0193 - 記錄人員接受隱私權需求的情況 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 採用獨立小組進行滲透測試 | CMA_C1171 - 採用獨立小組進行滲透測試 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 確認已及時簽署或重新簽署存取協定 | CMA_C1528 - 確保存取合約已及時簽署或符合規定 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 明確通知使用共同作業運算裝置 | CMA_C1649 - 明確通知使用共同作業運算裝置 | 手動、已停用 | 1.1.1 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 識別外部服務提供者 | CMA_C1591 - 識別外部服務提供者 | 手動、已停用 | 1.1.0 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作隱私權注意事項傳遞方法 | CMA_0324 - 實作隱私權注意事項傳遞方法 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 實作系統邊界保護 | CMA_0328 - 實作系統邊界保護 | 手動、已停用 | 1.1.0 |
| 使用安全性原則篩選的資訊流量控制 | CMA_C1029 - 使用安全性原則篩選的資訊流量控制 | 手動、已停用 | 1.1.0 |
| 管理授權機構和特殊利益團體的連絡人 | CMA_0359 - 管理授權機構和特殊利益團體的連絡人 | 手動、已停用 | 1.1.0 |
| 取得系統管理文件 | CMA_C1580 - 取得系統管理文件 | 手動、已停用 | 1.1.0 |
| 在收集或處理個人資料之前取得同意 | CMA_0385 - 在收集或處理個人資料之前取得同意 | 手動、已停用 | 1.1.0 |
| 取得使用者安全性功能文件 | CMA_C1581 - 取得使用者安全性功能文件 | 手動、已停用 | 1.1.0 |
| 產生安全性評量報告 | CMA_C1146 - 產生安全性評量報告 | 手動、已停用 | 1.1.0 |
| 產生、控制及散發對稱式密碼編譯金鑰 | CMA_C1646 - 產生、控制及散發非對稱密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 禁止遠端啟用共同作業運算裝置 | CMA_C1648 - 禁止遠端啟用共同作業運算裝置 | 手動、已停用 | 1.1.0 |
| 禁止不公平做法 | CMA_0396 - 禁止不公平做法 | 手動、已停用 | 1.1.0 |
| 保護系統管理員和使用者文件 | CMA_C1583 - 保護系統管理員和使用者文件 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供隱私權注意事項 | CMA_0414 - 提供隱私權注意事項 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 要求使用者簽署存取合約 | CMA_0440 - 要求使用者簽署存取合約 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並簽署已修訂的行為規則 | CMA_0465 - 檢閱並簽署已修訂的行為規則 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新應變計劃原則與程序 | CMA_C1243 - 檢閱並更新應變計劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 保護外部系統介面的安全 | CMA_0491 - 保護外部系統介面的安全 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 更新組織存取合約 | CMA_0520 - 更新組織存取合約 | 手動、已停用 | 1.1.0 |
| 更新行為和存取合約的規則 | CMA_0521 - 更新行為和存取合約的規則 | 手動、已停用 | 1.1.0 |
| 每 3 年更新行為和存取合約的規則一次 | CMA_0522 - 每 3 年更新行為和存取合約的規則一次 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
組織架構
識別碼:ENS v1 org.4 所有權:客戶
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 解決編碼弱點 | CMA_0003 - 解決編碼弱點 | 手動、已停用 | 1.1.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 指定資深資訊安全人員 | CMA_C1733 - 指定資深資訊安全人員 | 手動、已停用 | 1.1.0 |
| 將建議變更的核准要求自動化 | CMA_C1192 - 將建議變更的核准要求自動化 | 手動、已停用 | 1.1.0 |
| 自動化已核准的變更通知實作 | CMA_C1196 - 自動化已核准的變更通知實作 | 手動、已停用 | 1.1.0 |
| 將流程自動化以記錄實作的變更 | CMA_C1195 - 將流程自動化以記錄實作的變更 | 手動、已停用 | 1.1.0 |
| 醒目提示未檢閱變更提案的自動化流程 | CMA_C1193 - 醒目提示未檢閱變更提案的自動化流程 | 手動、已停用 | 1.1.0 |
| 將程式自動化,以禁止執行未核准的變更 | CMA_C1194 - 將程式自動化,以禁止執行未核准的變更 | 手動、已停用 | 1.1.0 |
| 將建議的已記錄變更自動化 | CMA_C1191 - 將建議的已記錄變更自動化 | 手動、已停用 | 1.1.0 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 溝通應變計劃變更 | CMA_C1249 - 溝通應變計劃變更 | 手動、已停用 | 1.1.0 |
| 進行安全性影響分析 | CMA_0057 - 進行安全性影響分析 | 手動、已停用 | 1.1.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 控制可攜式儲存裝置的使用 | CMA_0083 - 控制可攜式儲存裝置的使用 | 手動、已停用 | 1.1.0 |
| 建立設定計劃保護 | CMA_C1233 - 建立設定計劃保護 | 手動、已停用 | 1.1.0 |
| 定義及記錄政府管理 | CMA_C1587 - 定義及記錄政府管理 | 手動、已停用 | 1.1.0 |
| 定義資訊安全角色與責任 | CMA_C1565 - 定義資訊安全性角色與責任 | 手動、已停用 | 1.1.0 |
| 定義行動裝置需求 | CMA_0122 - 定義行動裝置需求 | 手動、已停用 | 1.1.0 |
| 指定個人以履行特定角色和責任 | CMA_C1747 - 指定個人以履行特定角色和責任 | 手動、已停用 | 1.1.0 |
| 決定供應商合約義務 | CMA_0140 - 決定供應商合約義務 | 手動、已停用 | 1.1.0 |
| 制定可接受的使用原則與程序 | CMA_0143 - 制定可接受的使用原則與程序 | 手動、已停用 | 1.1.0 |
| 制定存取控制原則和程序 | CMA_0144 - 制定存取控制原則和程序 | 手動、已停用 | 1.1.0 |
| 制定並記錄商務持續性和災害復原方案 | CMA_0146 - 制定並記錄商務持續性和災害復原方案 | 手動、已停用 | 1.1.0 |
| 制定及記錄應用程式安全性需求 | CMA_0148 - 制定及記錄應用程式安全性需求 | 手動、已停用 | 1.1.0 |
| 制定並建立系統安全性計劃 | CMA_0151 - 制定並建立系統安全性計劃 | 手動、已停用 | 1.1.0 |
| 制定並維護弱點管理標準 | CMA_0152 - 制定並維護弱點管理標準 | 手動、已停用 | 1.1.0 |
| 開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
| 制定稽核與責任原則和程序 | CMA_0154 - 制定稽核與責任原則和程序 | 手動、已停用 | 1.1.0 |
| 開發設定項目識別計畫 | CMA_C1231 - 開發設定項目識別計畫 | 手動、已停用 | 1.1.0 |
| 開發組態管理計畫 | CMA_C1232 - 開發組態管理計畫 | 手動、已停用 | 1.1.0 |
| 開發應變計劃 | CMA_C1244 - 開發應變計劃 | 手動、已停用 | 1.1.0 |
| 制定應變計劃原則和程序 | CMA_0156 - 制定應變計劃原則和程序 | 手動、已停用 | 1.1.0 |
| 制定資訊安全原則和程序 | CMA_0158 - 制定資訊安全原則和程序 | 手動、已停用 | 1.1.0 |
| 散發原則和程序 | CMA_0185 - 散發原則和程序 | 手動、已停用 | 1.1.0 |
| 記錄收購合約驗收準則 | CMA_0187 - 記錄收購合約驗收準則 | 手動、已停用 | 1.1.0 |
| 記錄並實作隱私權合規程序 | CMA_0189 - 記錄並實作隱私權合規程序 | 手動、已停用 | 1.1.0 |
| 記錄並實作無線存取方針 | CMA_0190 - 記錄並實作無線存取方針 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中個人資料的保護 | CMA_0194 - 記錄收購合約中個人資料的保護 | 手動、已停用 | 1.1.0 |
| 在收購合約中記錄安全性資訊的保護 | CMA_0195 - 在收購合約中記錄安全性資訊的保護 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 記錄合約中使用共用資料的需求 | CMA_0197 - 記錄合約中使用共用資料的需求 | 手動、已停用 | 1.1.0 |
| 記錄安全性和隱私權訓練活動 | CMA_0198 - 記錄安全性和隱私權訓練活動 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性保證需求 | CMA_0199 - 記錄收購合約中的安全性保證需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性文件集需求 | CMA_0200 - 記錄收購合約中的安全性文件集需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的安全性功能需求 | CMA_0201 - 記錄收購合約中的安全性功能需求 | 手動、已停用 | 1.1.0 |
| 記錄收購合約中的資訊系統環境 | CMA_0205 - 記錄收購合約中的資訊系統環境 | 手動、已停用 | 1.1.0 |
| 記錄協力廠商合約中持卡人資料的保護 | CMA_0207 - 記錄協力廠商合約中持卡人資料的保護 | 手動、已停用 | 1.1.0 |
| 文件協力廠商人員安全性需求 | CMA_C1531 - 文件協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 採用媒體清理機制 | CMA_0208 - 採用媒體清理機制 | 手動、已停用 | 1.1.0 |
| 採用界限保護來隔離資訊系統 | CMA_C1639 - 採用界限保護來隔離資訊系統 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 強制執行行為和存取協定的規則 | CMA_0248 - 強制執行行為和存取協定的規則 | 手動、已停用 | 1.1.0 |
| 強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
| 確認隱私權計畫資訊已公開 | CMA_C1867 - 確認隱私權計畫資訊已公開 | 手動、已停用 | 1.1.0 |
| 建立隱私權計畫 | CMA_0257 - 建立隱私權計畫 | 手動、已停用 | 1.1.0 |
| 建立風險管理策略 | CMA_0258 - 建立風險管理策略 | 手動、已停用 | 1.1.0 |
| 建立安全的軟體開發計畫 | CMA_0259 - 建立安全的軟體開發計畫 | 手動、已停用 | 1.1.0 |
| 建立資訊安全計畫 | CMA_0263 - 建立資訊安全計畫 | 手動、已停用 | 1.1.0 |
| 建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 建立開發人員的組態管理需求 | CMA_0270 - 建立開發人員的組態管理需求 | 手動、已停用 | 1.1.0 |
| 建立電子簽章和憑證需求 | CMA_0271 - 建立電子簽章和憑證需求 | 手動、已停用 | 1.1.0 |
| 建立製造已連線裝置的安全性需求 | CMA_0279 - 建立製造已連線裝置的安全性需求 | 手動、已停用 | 1.1.0 |
| 建立存取資源的條款及條件 | CMA_C1076 - 建立存取資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立處理資源的條款及條件 | CMA_C1077 - 建立處理資源的條款及條件 | 手動、已停用 | 1.1.0 |
| 建立協力廠商人員安全性需求 | CMA_C1529 - 建立協力廠商人員安全性需求 | 手動、已停用 | 1.1.0 |
| 控管雲端服務提供者的合規性 | CMA_0290 - 控管雲端服務提供者的合規性 | 手動、已停用 | 1.1.0 |
| 控管原則和程序 | CMA_0292 - 控管原則和程序 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 識別具有安全性角色與責任的使用者 | CMA_C1566 - 識別具有安全性角色與責任的使用者 | 手動、已停用 | 1.1.1 |
| 實作容錯名稱/位址服務 | CMA_0305 - 實作容錯名稱/位址服務 | 手動、已停用 | 1.1.0 |
| 實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
| 為每個外部服務實作受管理介面 | CMA_C1626 - 為每個外部服務實作受管理介面 | 手動、已停用 | 1.1.0 |
| 實作資訊系統的資訊安全工程原則 | CMA_0325 - 實作資訊系統的資訊安全工程原則 | 手動、已停用 | 1.1.0 |
| 將風險管理程式整合至 SDLC | CMA_C1567 - 將風險管理程式整合至 SDLC | 手動、已停用 | 1.1.0 |
| 執行資訊系統的安全性狀態 | CMA_C1746 - 執行資訊系統的安全性狀態 | 手動、已停用 | 1.1.0 |
| 管理資產的運輸 | CMA_0370 - 管理資產的運輸 | 手動、已停用 | 1.1.0 |
| 監視協力廠商提供者合規性 | CMA_C1533 - 監視協力廠商提供者合規性 | 手動、已停用 | 1.1.0 |
| 通知使用者系統登入或存取 | CMA_0382 - 通知使用者系統登入或存取 | 手動、已停用 | 1.1.0 |
| 執行隱私權影響評量 | CMA_0387 - 執行隱私權影響評量 | 手動、已停用 | 1.1.0 |
| 執行風險評量 | CMA_0388 - 執行風險評量 | 手動、已停用 | 1.1.0 |
| 對設定變更控制執行稽核 | CMA_0390 - 對設定變更控制執行稽核 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 繼續基本商務功能的方案 | CMA_C1253 - 繼續基本商務功能的方案 | 手動、已停用 | 1.1.0 |
| 防止遠端裝置分割通道 | CMA_C1632 - 防止遠端裝置分割通道 | 手動、已停用 | 1.1.0 |
| 保護資訊安全計畫方案 | CMA_C1732 - 保護資訊安全計畫方案 | 手動、已停用 | 1.1.0 |
| 保護無線存取 | CMA_0411 - 保護無線存取 | 手動、已停用 | 1.1.0 |
| 提供安全的名稱和位址解析服務 | CMA_0416 - 提供安全的名稱和位址解析服務 | 手動、已停用 | 1.1.0 |
| 重新驗證或終止使用者工作階段 | CMA_0421 - 重新驗證或終止使用者工作階段 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 需要開發人員記錄核准的變更和潛在影響 | CMA_C1597 - 需要開發人員記錄核准的變更和潛在影響 | 手動、已停用 | 1.1.0 |
| 要求開發人員只實作核准的變更 | CMA_C1596 - 要求開發人員只實作核准的變更 | 手動、已停用 | 1.1.0 |
| 需要開發人員管理變更完整性 | CMA_C1595 - 要求開發人員管理變更完整性 | 手動、已停用 | 1.1.0 |
| 要求外部服務提供者符合安全性需求 | CMA_C1586 - 要求外部服務提供者符合安全性需求 | 手動、已停用 | 1.1.0 |
| 需要互連安全性合約 | CMA_C1151 - 需要互連安全性合約 | 手動、已停用 | 1.1.0 |
| 需要協力廠商人員轉移或終止通知 | CMA_C1532 - 需要協力廠商人員轉移或終止通知 | 手動、已停用 | 1.1.0 |
| 要求協力廠商提供者符合人員安全性原則與程式 | CMA_C1530 - 要求協力廠商提供者符合人員安全性原則與程式 | 手動、已停用 | 1.1.0 |
| 限制媒體使用 | CMA_0450 - 限制媒體使用 | 手動、已停用 | 1.1.0 |
| 繼續所有任務和商務功能 | CMA_C1254 - 繼續所有任務和商務功能 | 手動、已停用 | 1.1.0 |
| 檢閱存取控制原則與程序 | CMA_0457 - 檢閱存取控制原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新組態管理原則與程序 | CMA_C1175 -檢閱並更新組態管理原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新事件回應原則與程式 | CMA_C1352 - 檢閱並更新事件回應原則與程式 | 手動、已停用 | 1.1.0 |
| 檢閱並更新資訊完整性原則與程序 | CMA_C1667 - 檢閱並更新資訊完整性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新媒體保護原則與程序 | CMA_C1427 - 檢閱並更新媒體保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新人員安全性原則與程序 | CMA_C1507 - 檢閱並更新人員安全性原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱及更新實體和環境原則及程序 | CMA_C1446 - 檢閱及更新實體和環境原則及程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新規劃原則與程序 | CMA_C1491 - 檢閱並更新規劃原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新風險評量原則與程序 | CMA_C1537 - 檢閱並更新風險評量原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與通訊保護原則與程序 | CMA_C1616 - 檢閱並更新系統與通訊保護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統與服務擷取原則與程序 | CMA_C1560 - 檢閱並更新系統與服務擷取原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱並更新系統維護原則與程序 | CMA_C1395 - 檢閱並更新系統維護原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱雲端服務提供者符合原則與合約規範的情況 | CMA_0469 - 檢閱雲端服務提供者符合原則與合約規範的情況 | 手動、已停用 | 1.1.0 |
| 檢閱應變計劃 | CMA_C1247 - 檢閱應變計劃 | 手動、已停用 | 1.1.0 |
| 檢閱安全性評量和授權原則及程序 | CMA_C1143 - 檢閱安全性評量與授權原則與程序 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
| 透過受控網路存取點路由流量 | CMA_0484 - 透過受控網路存取點路由流量 | 手動、已停用 | 1.1.0 |
| 分隔使用者與資訊系統管理功能 | CMA_0493 - 分隔使用者與資訊系統管理功能 | 手動、已停用 | 1.1.0 |
| 進行獨立安全性檢閱 | CMA_0515 - 進行獨立安全性檢閱 | 手動、已停用 | 1.1.0 |
| 更新應變計劃 | CMA_C1248 - 更新應變計劃 | 手動、已停用 | 1.1.0 |
| 更新資訊安全性原則 | CMA_0518 - 更新資訊安全性原則 | 手動、已停用 | 1.1.0 |
| 更新互連安全性合約 | CMA_0519 - 更新互連安全性合約 | 手動、已停用 | 1.1.0 |
| 更新隱私權計畫、原則和程序 | CMA_C1807 - 更新隱私權計畫、原則和程序 | 手動、已停用 | 1.1.0 |
| 使用系統管理工作專用的電腦 | CMA_0527 - 使用系統管理工作專用的電腦 | 手動、已停用 | 1.1.0 |
| 確認外部資訊系統的安全性控制項 | CMA_0541 - 確認外部資訊系統的安全性控制項 | 手動、已停用 | 1.1.0 |
| 檢視和設定系統診斷資料 | CMA_0544 - 檢視和設定系統診斷資料 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應