Podrobnosti o integrované iniciativě dodržování právních předpisů NIST SP 800-53 Rev. 4 (Azure Government)
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v NIST SP 800-53 Rev. 4 (Azure Government). Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 4. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky NIST SP 800-53 Rev. 4 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte definici iniciativy NIST SP 800-53 Rev. 4 Dodržování právních předpisů.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Řízení přístupu
Zásady a postupy řízení přístupu
ID: NIST SP 800-53 Rev. 4 AC-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 – Požadavky na zásady řízení přístupu a postupy | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1001 – Požadavky na zásady řízení přístupu a postupy | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Správa účtů
ID: NIST SP 800-53 Rev. 4 AC-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Microsoft Managed Control 1002 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1003 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1004 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1005 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1006 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1007 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1008 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1009 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1010 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1011 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1012 – Správa účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Automatizovaná správa účtů systému
ID: NIST SP 800-53 Rev. 4 AC-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Microsoft Managed Control 1013 – Správa účtů | Automatizovaná správa účtů systému | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Odebrání dočasných nebo nouzových účtů
ID: NIST SP 800-53 Rev. 4 AC-2 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 – Správa účtů | Odebrání dočasných nebo nouzových účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zakázání neaktivních účtů
ID: NIST SP 800-53 Rev. 4 AC-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 – Správa účtů | Zakázání neaktivních účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Automatizované akce auditu
ID: NIST SP 800-53 Rev. 4 AC-2 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 – Správa účtů | Automatizované akce auditu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Odhlášení nečinnosti
ID: NIST SP 800-53 Rev. 4 AC-2 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 – Správa účtů | Odhlášení nečinnosti | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Schémata založená na rolích
ID: NIST SP 800-53 Rev. 4 AC-2 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Microsoft Managed Control 1018 – Správa účtů | Schémata založená na rolích | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1019 – Správa účtů | Schémata založená na rolích | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1020 – Správa účtů | Schémata založená na rolích | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Omezení používání sdílených skupin nebo účtů
ID: NIST SP 800-53 Rev. 4 AC-2 (9) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 – Správa účtů | Omezení používání sdílených nebo skupinových účtů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Ukončení přihlašovacích údajů sdíleného nebo skupinového účtu
ID: NIST SP 800-53 Rev. 4 AC-2 (10) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1022 – Správa účtů | Ukončení přihlašovacích údajů sdíleného nebo skupinového účtu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Podmínky použití
ID: NIST SP 800-53 Rev. 4 AC-2 (11) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 – Správa účtů | Podmínky použití | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Monitorování účtů / neobvyklé využití
ID: NIST SP 800-53 Rev. 4 AC-2 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1024 – Správa účtů | Monitorování účtů / neobvyklé využití | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1025 – Správa účtů | Monitorování účtů / neobvyklé využití | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zakázání účtů pro vysoce rizikové jednotlivce
ID: NIST SP 800-53 Rev. 4 AC-2 (13) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 – Správa účtů | Zakázání účtů pro vysoce rizikové jednotlivce | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Vynucení přístupu
ID: NIST SP 800-53 Rev. 4 AC-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 1.4.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1027 – Vynucení přístupu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Řízení přístupu na základě role
ID: NIST SP 800-53 Rev. 4 AC-3 (7) Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.4 |
Vynucení toku informací
ID: NIST SP 800-53 Rev. 4 AC-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 1.4.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1028 – Vynucení toku informací | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Řízení toku dynamických informací
ID: NIST SP 800-53 Rev. 4 AC-4 (3) Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Filtry zásad zabezpečení
ID: NIST SP 800-53 Rev. 4 AC-4 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 – Vynucení toku informací | Filtry zásad zabezpečení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Fyzické / logické oddělení informačních toků
ID: NIST SP 800-53 Rev. 4 AC-4 (21) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 – Vynucení toku informací | Fyzické / logické oddělení informačních toků | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Oddělení povinností
ID: NIST SP 800-53 Rev. 4 AC-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 – oddělení povinností | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1032 – oddělení povinností | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1033 – Oddělení povinností | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Nejnižší oprávnění
ID: NIST SP 800-53 Rev. 4 AC-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Microsoft Managed Control 1034 – Nejnižší oprávnění | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Autorizace přístupu k funkcím zabezpečení
ID: NIST SP 800-53 Rev. 4 AC-6 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 – Nejnižší oprávnění | Autorizace přístupu k funkcím zabezpečení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Neprivilegovaný přístup pro funkce bez zabezpečení
ID: NIST SP 800-53 Rev. 4 AC-6 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 – Nejnižší oprávnění | Neprivilegovaný přístup pro funkce bez zabezpečení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Síťový přístup k privilegovaným příkazům
ID: NIST SP 800-53 Rev. 4 AC-6 (3) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 – Nejnižší oprávnění | Síťový přístup k privilegovaným příkazům | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Privilegované účty
ID: NIST SP 800-53 Rev. 4 AC-6 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 - Nejnižší oprávnění | Privilegované účty | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Kontrola uživatelských oprávnění
ID: NIST SP 800-53 Rev. 4 AC-6 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Microsoft Managed Control 1039 – Nejnižší oprávnění | Kontrola uživatelských oprávnění | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1040 – Nejnižší oprávnění | Kontrola uživatelských oprávnění | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Úrovně oprávnění pro spouštění kódu
ID: NIST SP 800-53 Rev. 4 AC-6 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 – Nejnižší oprávnění | Úrovně oprávnění pro spouštění kódu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Použití auditování privilegovaných funkcí
ID: NIST SP 800-53 Rev. 4 AC-6 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 – Nejnižší oprávnění | Použití auditování privilegovaných funkcí | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zakázání neprivilegovaných uživatelů v provádění privilegovaných funkcí
ID: NIST SP 800-53 Rev. 4 AC-6 (10) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 – Nejnižší oprávnění | Zakázání neprivilegovaných uživatelů v provádění privilegovaných funkcí | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Neúspěšné pokusy o přihlášení
ID: NIST SP 800-53 Rev. 4 AC-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 – Neúspěšné pokusy o přihlášení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1045 – Neúspěšné pokusy o přihlášení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Vymazání / vymazání mobilního zařízení
ID: NIST SP 800-53 Rev. 4 AC-7 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 – Neúspěšné pokusy o přihlášení | Vymazání / vymazání mobilního zařízení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Oznámení o použití systému
ID: NIST SP 800-53 Rev. 4 AC-8 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 – Oznámení o použití systému | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1048 – Oznámení o použití systému | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1049 – Oznámení o použití systému | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Řízení souběžné relace
ID: NIST SP 800-53 Rev. 4 AC-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 – Souběžné řízení relací | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zámek relace
ID: NIST SP 800-53 Rev. 4 AC-11 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 – Uzamčení relace | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1052 – Uzamčení relace | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zobrazení pro skrytí vzorů
ID: NIST SP 800-53 Rev. 4 AC-11 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 – Zámek relace | Zobrazení pro skrytí vzorů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Ukončení relace
ID: NIST SP 800-53 Rev. 4 AC-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 – Ukončení relace | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Odhlášení iniciované uživatelem / Zobrazení zpráv
ID: NIST SP 800-53 Rev. 4 AC-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 – Ukončení relace| Odhlášení iniciované uživatelem / Zobrazení zpráv | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1056 – Ukončení relace | Odhlášení iniciované uživatelem / Zobrazení zpráv | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Povolené akce bez identifikace nebo ověřování
ID: NIST SP 800-53 Rev. 4 AC-14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 – Povolené akce bez identifikace nebo ověřování | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1058 – Povolené akce bez identifikace nebo ověřování | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Atributy zabezpečení
ID: NIST SP 800-53 Rev. 4 AC-16 Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Vzdálený přístup
ID: NIST SP 800-53 Rev. 4 AC-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 1.4.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Microsoft Managed Control 1059 – Vzdálený přístup | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1060 – Vzdálený přístup | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
Automatizované monitorování / řízení
ID: NIST SP 800-53 Rev. 4 AC-17 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 1.4.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Microsoft Managed Control 1061 – Vzdálený přístup | Automatizované monitorování / řízení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
Ochrana důvěrnosti / integrity pomocí šifrování
ID: NIST SP 800-53 Rev. 4 AC-17 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 – Vzdálený přístup | Ochrana důvěrnosti / integrity pomocí šifrování | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Spravované body řízení přístupu
ID: NIST SP 800-53 Rev. 4 AC-17 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 – Vzdálený přístup | Spravované body řízení přístupu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Privilegované příkazy / přístup
ID: NIST SP 800-53 Rev. 4 AC-17 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 – Vzdálený přístup | Privilegované příkazy / přístup | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1065 – Vzdálený přístup | Privilegované příkazy / přístup | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Odpojit nebo zakázat přístup
ID: NIST SP 800-53 Rev. 4 AC-17 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 – Vzdálený přístup | Odpojit nebo zakázat přístup | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Bezdrátový přístup
ID: NIST SP 800-53 Rev. 4 AC-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 – Omezení bezdrátového přístupu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1068 – Omezení bezdrátového přístupu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Ověřování a šifrování
ID: NIST SP 800-53 Rev. 4 AC-18 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 – Omezení bezdrátového přístupu | Ověřování a šifrování | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Zakázání bezdrátových sítí
ID: NIST SP 800-53 Rev. 4 AC-18 (3) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 - Omezení bezdrátového přístupu | Zakázání bezdrátových sítí | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Omezení konfigurací podle uživatelů
ID: NIST SP 800-53 Rev. 4 AC-18 (4) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 – Omezení bezdrátového přístupu | Omezení konfigurací podle uživatelů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Antény / Úrovně přenosového výkonu
ID: NIST SP 800-53 Rev. 4 AC-18 (5) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 – Omezení bezdrátového přístupu | Antény / Úrovně přenosového výkonu | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Řízení přístupu pro mobilní zařízení
ID: NIST SP 800-53 Rev. 4 AC-19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 – Řízení přístupu pro přenosné a mobilní systémy | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1074 – Řízení přístupu pro přenosné a mobilní systémy | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Úplné šifrování na základě zařízení / kontejneru
ID: NIST SP 800-53 Rev. 4 AC-19 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 - Řízení přístupu pro přenosné a mobilní systémy | Úplné šifrování na základě zařízení / kontejneru | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Použití externích informačních systémů
ID: NIST SP 800-53 Rev. 4 AC-20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 – použití externích informačních systémů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1077 – použití externích informačních systémů | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Omezení autorizovaného použití
ID: NIST SP 800-53 Rev. 4 AC-20 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 - Použití externích informačních systémů | Omezení autorizovaného použití | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1079 - Použití externích informačních systémů | Omezení autorizovaného použití | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Přenosná úložná zařízení
ID: NIST SP 800-53 Rev. 4 AC-20 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 - Použití externích informačních systémů | Přenosná úložná zařízení | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Sdílení informací
ID: NIST SP 800-53 Rev. 4 AC-21 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 – Sdílení informací | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1082 – Sdílení informací | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Veřejně přístupný obsah
ID: NIST SP 800-53 Rev. 4 AC-22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 – Veřejně přístupný obsah | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1084 – veřejně přístupný obsah | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1085 – veřejně přístupný obsah | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
| Microsoft Managed Control 1086 – veřejně přístupný obsah | Microsoft implementuje toto řízení přístupu. | audit | 1.0.0 |
Povědomí a školení
Zásady zvyšování povědomí o zabezpečení a školení
ID: NIST SP 800-53 Rev. 4 AT-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 – Zásady a postupy pro zvyšování povědomí o zabezpečení a školení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1088 – Zásady a postupy pro zvyšování povědomí o zabezpečení a školení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Školení ke zvyšování povědomí o zabezpečení
ID: NIST SP 800-53 Rev. 4 AT-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 – Povědomí o zabezpečení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1090 – povědomí o zabezpečení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1091 – Povědomí o zabezpečení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Insider Threat
ID: NIST SP 800-53 Rev. 4 AT-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 – Povědomí o zabezpečení | Insider Threat | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Školení zabezpečení na základě rolí
ID: NIST SP 800-53 Rev. 4 AT-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 – Školení zabezpečení na základě rolí | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1094 – Školení zabezpečení na základě rolí | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1095 – Školení zabezpečení na základě rolí | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Praktická cvičení
ID: NIST SP 800-53 Rev. 4 AT-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 – Školení zabezpečení na základě rolí | Praktická cvičení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Podezřelé chování komunikace a neobvyklého systémového chování
ID: NIST SP 800-53 Rev. 4 AT-3 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1097 – Školení zabezpečení na základě role | Podezřelé chování komunikace a neobvyklého systémového chování | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Záznamy školení zabezpečení
ID: NIST SP 800-53 Rev. 4 AT-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 – Záznamy školení zabezpečení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
| Microsoft Managed Control 1099 – Záznamy školení zabezpečení | Microsoft implementuje toto řízení povědomí a školení. | audit | 1.0.0 |
Audit a odpovědnost
Zásady a postupy auditu a odpovědnosti
ID: NIST SP 800-53 Rev. 4 AU-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 – Zásady a postupy auditu a odpovědnosti | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1101 – Zásady a postupy auditu a odpovědnosti | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Událostí auditu
ID: NIST SP 800-53 Rev. 4 AU-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 – Události auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1103 – Události auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1104 – Události auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1105 – Události auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Recenze a aktualizace
ID: NIST SP 800-53 Rev. 4 AU-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1106 – Události auditu | Recenze a aktualizace | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Obsah záznamů auditu
ID: NIST SP 800-53 Rev. 4 AU-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 – obsah záznamů auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Další informace o auditu
ID: NIST SP 800-53 Rev. 4 AU-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 - Obsah záznamů auditu | Další informace o auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Centralizovaná správa obsahu záznamů plánovaného auditu
ID: NIST SP 800-53 Rev. 4 AU-3 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1109 – obsah záznamů auditu | Centralizovaná správa obsahu záznamů plánovaného auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Auditovat kapacitu úložiště
ID: NIST SP 800-53 Rev. 4 AU-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 – Auditovat kapacitu úložiště | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Reakce na selhání zpracování auditu
ID: NIST SP 800-53 Rev. 4 AU-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 – reakce na selhání zpracování auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1112 – reakce na selhání zpracování auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Auditovat kapacitu úložiště
ID: NIST SP 800-53 Rev. 4 AU-5 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 – reakce na selhání zpracování auditu | Auditovat kapacitu úložiště | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Výstrahy v reálném čase
ID: NIST SP 800-53 Rev. 4 AU-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 – reakce na selhání zpracování auditu | Výstrahy v reálném čase | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Kontrola auditu, analýza a generování sestav
ID: NIST SP 800-53 Rev. 4 AU-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1115 – Kontrola auditu, analýza a generování sestav | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1116 – Kontrola auditu, analýza a generování sestav | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
Integrace procesů
ID: NIST SP 800-53 Rev. 4 AU-6 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 – Kontrola auditu, analýza a generování sestav | Integrace procesů | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Korelace úložišť auditu
ID: NIST SP 800-53 Rev. 4 AU-6 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 – Kontrola auditu, analýza a generování sestav | Korelace úložišť auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Centrální kontrola a analýza
ID: NIST SP 800-53 Rev. 4 AU-6 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1119 – Kontrola auditu, analýza a generování sestav | Centrální kontrola a analýza | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Integrace / kontrola a monitorování možností
ID: NIST SP 800-53 Rev. 4 AU-6 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1120 – Kontrola auditu, analýza a generování sestav | Integrace / kontrola a monitorování možností | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Korelace s fyzickým monitorováním
ID: NIST SP 800-53 Rev. 4 AU-6 (6) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 – Kontrola auditu, analýza a generování sestav | Korelace s fyzickým monitorováním | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Povolené akce
ID: NIST SP 800-53 Rev. 4 AU-6 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 – Kontrola auditu, analýza a generování sestav | Povolené akce | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Úprava na úrovni auditu
ID: NIST SP 800-53 Rev. 4 AU-6 (10) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1123 – Kontrola auditu, analýza a generování sestav | Úprava na úrovni auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Snížení auditování a generování sestav
ID: NIST SP 800-53 Rev. 4 AU-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 – Snížení auditování a generování sestav | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1125 – Snížení auditování a generování sestav | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Automatické zpracování
ID: NIST SP 800-53 Rev. 4 AU-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 – Snížení auditování a generování sestav | Automatické zpracování | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Časová razítka
ID: NIST SP 800-53 Rev. 4 AU-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 – časové razítko | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1128 – časové razítko | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Synchronizace s autoritativním zdrojem času
ID: NIST SP 800-53 Rev. 4 AU-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1129 – časové razítko | Synchronizace s autoritativním zdrojem času | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1130 – časové razítko | Synchronizace s autoritativním zdrojem času | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Ochrana informací o auditu
ID: NIST SP 800-53 Rev. 4 AU-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 – Ochrana informací o auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Audit zálohování na samostatných fyzických systémech nebo komponentách
ID: NIST SP 800-53 Rev. 4 AU-9 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 – Ochrana informací o auditu | Audit zálohování na samostatných fyzických systémech nebo komponentách | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Kryptografická ochrana
ID: NIST SP 800-53 Rev. 4 AU-9 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 – Ochrana informací o auditu | Kryptografická ochrana | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Přístup podle podmnožina privilegovaných uživatelů
ID: NIST SP 800-53 Rev. 4 AU-9 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 – Ochrana informací o auditu | Přístup podle podmnožina privilegovaných uživatelů | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Neodvolatelnost
ID: NIST SP 800-53 Rev. 4 AU-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 – Nesplnění | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Uchovávání záznamů auditu
ID: NIST SP 800-53 Rev. 4 AU-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 – Uchovávání záznamů auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
Generování auditu
ID: NIST SP 800-53 Rev. 4 AU-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1137 – Generování auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1138 – Generování auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Microsoft Managed Control 1139 – Generování auditu | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Záznam auditu korelovaný pro celý systém / čas
ID: NIST SP 800-53 Rev. 4 AU-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1140 – Generování auditu | Záznam auditu korelovaný pro celý systém / čas | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Změny autorizovanými osobami
ID: NIST SP 800-53 Rev. 4 AU-12 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 – Generování auditu | Změny autorizovanými osobami | Microsoft implementuje tuto kontrolu auditu a odpovědnosti. | audit | 1.0.0 |
Posouzení a autorizace zabezpečení
Zásady a postupy posouzení zabezpečení a autorizace
ID: NIST SP 800-53 Rev. 4 CA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 – Certifikace, autorizace, zásady posouzení zabezpečení a postupy | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1143 – Certifikace, autorizace, zásady posouzení zabezpečení a postupy | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Posouzení zabezpečení
ID: NIST SP 800-53 Rev. 4 CA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 – Posouzení zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1145 – Posouzení zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1146 – posouzení zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1147 – Posouzení zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Nezávislí hodnotitelé
ID: NIST SP 800-53 Rev. 4 CA-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 – Posouzení zabezpečení | Nezávislí hodnotitelé | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Specializovaná hodnocení
ID: NIST SP 800-53 Rev. 4 CA-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 – Posouzení zabezpečení | Specializovaná hodnocení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Externí organizace
ID: NIST SP 800-53 Rev. 4 CA-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 – Posouzení zabezpečení | Externí organizace | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Propojení systému
ID: NIST SP 800-53 Rev. 4 CA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 – Systémové propojení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1152 – Systémové propojení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1153 – Propojení systémů | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Neotříděná připojení jiných než národních systémů zabezpečení
ID: NIST SP 800-53 Rev. 4 CA-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1154 - Systémové propojení | Neotříděná připojení jiných než národních systémů zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Omezení připojení externího systému
ID: NIST SP 800-53 Rev. 4 CA-3 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 - Systémové propojení | Omezení připojení externího systému | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Plán akcí a milníků
ID: NIST SP 800-53 Rev. 4 CA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 – plán akcí a milníků | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1157 – plán akcí a milníků | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Autorizace zabezpečení
ID: NIST SP 800-53 Rev. 4 CA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 – Autorizace zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1159 – Autorizace zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1160 – Autorizace zabezpečení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Průběžné monitorování
ID: NIST SP 800-53 Rev. 4 CA-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1162 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1163 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1164 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1165 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1166 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1167 – Průběžné monitorování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Nezávislé posouzení
ID: NIST SP 800-53 Rev. 4 CA-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 – Průběžné monitorování | Nezávislé posouzení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Analýzy trendů
ID: NIST SP 800-53 Rev. 4 CA-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 – Průběžné monitorování | Analýzy trendů | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Penetrační testování
ID: NIST SP 800-53 Rev. 4 CA-8 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 – Penetrační testování | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Nezávislý penetrační agent nebo tým
ID: NIST SP 800-53 Rev. 4 CA-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 – Penetrační testování | Nezávislý penetrační agent nebo tým | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Interní systémová připojení
ID: NIST SP 800-53 Rev. 4 CA-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 – Interní systémová připojení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
| Microsoft Managed Control 1173 – Interní systémová připojení | Microsoft implementuje toto řízení posouzení zabezpečení a autorizace. | audit | 1.0.0 |
Správa konfigurace
Zásady a postupy správy konfigurace
ID: NIST SP 800-53 Rev. 4 CM-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 – Zásady a postupy správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1175 – Zásady a postupy správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Standardní konfigurace
ID: NIST SP 800-53 Rev. 4 CM-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 – konfigurace standardních hodnot | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Recenze a aktualizace
ID: NIST SP 800-53 Rev. 4 CM-2 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1177 – Základní konfigurace | Recenze a aktualizace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1178 – Základní konfigurace | Recenze a aktualizace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1179 – Základní konfigurace | Recenze a aktualizace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Podpora automatizace pro přesnost / měnu
ID: NIST SP 800-53 Rev. 4 CM-2 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 – základní konfigurace | Podpora automatizace pro přesnost / měnu | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Uchovávání předchozích konfigurací
ID: NIST SP 800-53 Rev. 4 CM-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 – Základní konfigurace | Uchovávání předchozích konfigurací | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Konfigurace systémů, komponent nebo zařízení pro vysoce rizikové oblasti
ID: NIST SP 800-53 Rev. 4 CM-2 (7) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 – Základní konfigurace | Konfigurace systémů, komponent nebo zařízení pro vysoce rizikové oblasti | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1183 – Základní konfigurace | Konfigurace systémů, komponent nebo zařízení pro vysoce rizikové oblasti | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Řízení změn konfigurace
ID: NIST SP 800-53 Rev. 4 CM-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1185 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1186 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1187 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1188 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1189 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1190 – Řízení změn konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Automatizovaný dokument / oznámení / zákaz změn
ID: NIST SP 800-53 Rev. 4 CM-3 (1) Vlastnictví: sdílené
Testování/ ověření / změny dokumentu
ID: NIST SP 800-53 Rev. 4 CM-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 – Řízení změn konfigurace | Testování/ ověření / změny dokumentu | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Zástupce zabezpečení
ID: NIST SP 800-53 Rev. 4 CM-3 (4) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 – Řízení změn konfigurace | Zástupce zabezpečení | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Správa kryptografie
ID: NIST SP 800-53 Rev. 4 CM-3 (6) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 – Řízení změn konfigurace | Správa kryptografie | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Analýza dopadu na zabezpečení
ID: NIST SP 800-53 Rev. 4 CM-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 – Analýza dopadu na zabezpečení | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Samostatná testovací prostředí
ID: NIST SP 800-53 Rev. 4 CM-4 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 – Analýza dopadu zabezpečení | Samostatná testovací prostředí | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Omezení přístupu pro změnu
ID: NIST SP 800-53 Rev. 4 CM-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 – Omezení přístupu pro změnu | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Automatizované vynucování přístupu / auditování
ID: NIST SP 800-53 Rev. 4 CM-5 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 – Omezení přístupu pro změnu | Automatizované vynucování přístupu / auditování | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Kontrola systémových změn
ID: NIST SP 800-53 Rev. 4 CM-5 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1204 – Omezení přístupu pro změnu | Kontrola systémových změn | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Podepsané komponenty
ID: NIST SP 800-53 Rev. 4 CM-5 (3) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1205 – Omezení přístupu pro změnu | Podepsané komponenty | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Omezení produkčních nebo provozních oprávnění
ID: NIST SP 800-53 Rev. 4 CM-5 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 – Omezení přístupu pro změnu | Omezení produkčních nebo provozních oprávnění | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1207 – Omezení přístupu pro změnu | Omezení produkčních nebo provozních oprávnění | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Nastavení konfigurace
ID: NIST SP 800-53 Rev. 4 CM-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.2.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.2.0 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.5.0 |
| Microsoft Managed Control 1208 – Nastavení konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1209 – Nastavení konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1210 – Nastavení konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1211 – Nastavení konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.0.0 |
Automatizovaná centrální správa / aplikace / ověření
ID: NIST SP 800-53 Rev. 4 CM-6 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 – Nastavení konfigurace | Automatizovaná centrální správa / aplikace / ověření | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Reakce na neoprávněné změny
ID: NIST SP 800-53 Rev. 4 CM-6 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 – Nastavení konfigurace | Reakce na neoprávněné změny | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Nejnižší funkčnost
ID: NIST SP 800-53 Rev. 4 CM-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Managed Control 1214 – Nejnižší funkce | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1215 – Nejnižší funkce | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Pravidelná kontrola
ID: NIST SP 800-53 Rev. 4 CM-7 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 – Nejnižší funkce | Pravidelná kontrola | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1217 – Nejnižší funkce | Pravidelná kontrola | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Zabránit spuštění programu
ID: NIST SP 800-53 Rev. 4 CM-7 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1218 - Nejnižší funkce | Zabránit spuštění programu | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Autorizovaný software / přidání na seznam povolených
ID: NIST SP 800-53 Rev. 4 CM-7 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1219 – Nejnižší funkce | Autorizovaný software / přidání na seznam povolených | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1220 - Nejnižší funkce | Autorizovaný software / přidání na seznam povolených | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1221 – Nejnižší funkce | Autorizovaný software / přidání na seznam povolených | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Inventář komponent informačního systému
ID: NIST SP 800-53 Rev. 4 CM-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 – Inventář součástí informačního systému | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1223 – Inventář součástí informačního systému | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Aktualizace během instalací / odebrání
ID: NIST SP 800-53 Rev. 4 CM-8 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 – Inventář součástí informačního systému | Aktualizace během instalací / odebrání | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Automatizovaná údržba
ID: NIST SP 800-53 Rev. 4 CM-8 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 – Inventář součástí informačního systému | Automatizovaná údržba | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Automatizovaná detekce neautorizovaných komponent
ID: NIST SP 800-53 Rev. 4 CM-8 (3) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 – Inventář součástí informačního systému | Automatizovaná detekce neautorizovaných komponent | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1227 – Inventář součástí informačního systému | Automatizovaná detekce neautorizovaných komponent | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Informace o odpovědnosti
ID: NIST SP 800-53 Rev. 4 CM-8 (4) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 – Inventář součástí informačního systému | Informace o odpovědnosti | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Žádné duplicitní účetnictví komponent
ID: NIST SP 800-53 Rev. 4 CM-8 (5) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1229 – Inventář součástí informačního systému | Žádné duplicitní účetnictví komponent | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Plán správy konfigurace
ID: NIST SP 800-53 Rev. 4 CM-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 – Plán správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1231 – Plán správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1232 – Plán správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1233 – Plán správy konfigurace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Omezení využití softwaru
ID: NIST SP 800-53 Rev. 4 CM-10 Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1234 – Omezení využití softwaru | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1235 – Omezení využití softwaru | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1236 – Omezení využití softwaru | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Open Source Software
ID: NIST SP 800-53 Rev. 4 CM-10 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 – Omezení využití softwaru | Open Source Software | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Software nainstalovaný uživatelem
ID: NIST SP 800-53 Rev. 4 CM-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1238 – software nainstalovaný uživatelem | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1239 – Software nainstalovaný uživatelem | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
| Microsoft Managed Control 1240 – Software nainstalovaný uživatelem | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Výstrahy pro neautorizované instalace
ID: NIST SP 800-53 Rev. 4 CM-11 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1241 – Software nainstalovaný uživatelem | Výstrahy pro neautorizované instalace | Microsoft implementuje tento ovládací prvek správy konfigurace. | audit | 1.0.0 |
Plánování nepředvídaných událostí
Zásady a postupy plánování nepředvídaných událostí
ID: NIST SP 800-53 Rev. 4 CP-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 – Zásady a postupy plánování nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1243 – Zásady a postupy plánování nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Plán nepředvídaných událostí
ID: NIST SP 800-53 Rev. 4 CP-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1245 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1246 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1247 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1248 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1249 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1250 – Plán nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Koordinace se souvisejícími plány
ID: NIST SP 800-53 Rev. 4 CP-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 – Plán nepředvídaných událostí | Koordinace se souvisejícími plány | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Plánování kapacit
ID: NIST SP 800-53 Rev. 4 CP-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 – Plán nepředvídaných událostí | Plánování kapacity | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení základních misí / obchodních funkcí
ID: NIST SP 800-53 Rev. 4 CP-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 – Plán nepředvídaných událostí | Obnovení základních misí / obchodních funkcí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení všech misí / obchodních funkcí
ID: NIST SP 800-53 Rev. 4 CP-2 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1254 – Plán nepředvídaných událostí | Obnovení všech misí / obchodních funkcí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Pokračovat v základních misích / obchodních funkcích
ID: NIST SP 800-53 Rev. 4 CP-2 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 – Plán nepředvídaných událostí | Pokračovat v základních misích / obchodních funkcích | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Identifikace kritických prostředků
ID: NIST SP 800-53 Rev. 4 CP-2 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 – Plán nepředvídaných událostí | Identifikace kritických prostředků | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Nepředvídané školení
ID: NIST SP 800-53 Rev. 4 CP-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 – Školení pro nepředvídané události | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1258 – Školení pro nepředvídané události | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1259 – Školení pro nepředvídané události | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Simulované události
ID: NIST SP 800-53 Rev. 4 CP-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 – Nepředvídané školení | Simulované události | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Testování plánu nepředvídaných událostí
ID: NIST SP 800-53 Rev. 4 CP-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 – Testování plánu nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1262 – Testování plánu nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1263 – Testování plánu nepředvídaných událostí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Koordinace se souvisejícími plány
ID: NIST SP 800-53 Rev. 4 CP-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 – Testování plánu nepředvídaných událostí | Koordinace se souvisejícími plány | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Web pro alternativní zpracování
ID: NIST SP 800-53 Rev. 4 CP-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 – Testování plánu nepředvídaných událostí | Web pro alternativní zpracování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1266 – Testování plánu nepředvídaných událostí | Web pro alternativní zpracování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Alternativní web úložiště
ID: NIST SP 800-53 Rev. 4 CP-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
| Microsoft Managed Control 1267 – alternativní web úložiště | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1268 – alternativní web úložiště | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Oddělení od primární lokality
ID: NIST SP 800-53 Rev. 4 CP-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
| Microsoft Managed Control 1269 – alternativní web úložiště | Oddělení od primární lokality | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Doba obnovení / cíle bodu
ID: NIST SP 800-53 Rev. 4 CP-6 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 – alternativní web úložiště | Doba obnovení / cíle bodu | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Usnadnění
ID: NIST SP 800-53 Rev. 4 CP-6 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 – alternativní web úložiště | Přístupnost | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Web pro alternativní zpracování
ID: NIST SP 800-53 Rev. 4 CP-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 – alternativní web pro zpracování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1273 – alternativní web pro zpracování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1274 – alternativní web pro zpracování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Oddělení od primární lokality
ID: NIST SP 800-53 Rev. 4 CP-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 - Alternativní zpracování webu | Oddělení od primární lokality | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Usnadnění
ID: NIST SP 800-53 Rev. 4 CP-7 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 - Alternativní zpracování webu | Přístupnost | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Priorita služby
ID: NIST SP 800-53 Rev. 4 CP-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 - Alternativní zpracování webu | Priorita služby | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Příprava na použití
ID: NIST SP 800-53 Rev. 4 CP-7 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 - Alternativní zpracování webu | Příprava na použití | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Telekomunikační služby
ID: NIST SP 800-53 Rev. 4 CP-8 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 – Telecommunications Services | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Priorita ustanovení služeb
ID: NIST SP 800-53 Rev. 4 CP-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 - Telecommunications Services | Priorita ustanovení služeb | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1281 - Telecommunications Services | Priorita ustanovení služeb | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Jednotlivé body selhání
ID: NIST SP 800-53 Rev. 4 CP-8 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 - Telecommunications Services | Jednotlivé body selhání | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Oddělení primárních nebo alternativních poskytovatelů
ID: NIST SP 800-53 Rev. 4 CP-8 (3) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 - Telecommunications Services | Oddělení primárních nebo alternativních poskytovatelů | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Plán nepředvídaných událostí poskytovatele
ID: NIST SP 800-53 Rev. 4 CP-8 (4) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 - Telecommunications Services | Plán nepředvídaných událostí poskytovatele | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1285 - Telecommunications Services | Plán nepředvídaných událostí poskytovatele | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1286 - Telecommunications Services | Plán nepředvídaných událostí poskytovatele | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Zálohování informačního systému
ID: NIST SP 800-53 Rev. 4 CP-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Microsoft Managed Control 1287 – Zálohování informačního systému | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1288 – Zálohování informačního systému | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1289 – Zálohování informačního systému | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
| Microsoft Managed Control 1290 – Zálohování informačního systému | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Testování pro spolehlivost / integritu
ID: NIST SP 800-53 Rev. 4 CP-9 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 – Zálohování informačního systému | Testování pro spolehlivost / integritu | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení testů s využitím vzorkování
ID: NIST SP 800-53 Rev. 4 CP-9 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 – Zálohování informačního systému | Obnovení testů s využitím vzorkování | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Samostatné úložiště pro důležité informace
ID: NIST SP 800-53 Rev. 4 CP-9 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 – Zálohování informačního systému | Samostatné úložiště pro důležité informace | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Přenos na alternativní lokalitu úložiště
ID: NIST SP 800-53 Rev. 4 CP-9 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 – Zálohování informačního systému | Přenos na alternativní lokalitu úložiště | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení a rekonstituce informačního systému
ID: NIST SP 800-53 Rev. 4 CP-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 – Obnovení a rekonstituce informačního systému | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení transakcí
ID: NIST SP 800-53 Rev. 4 CP-10 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 – Obnovení a rekonstituce informačního systému | Obnovení transakcí | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Obnovení během časového období
ID: NIST SP 800-53 Rev. 4 CP-10 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 - Obnovení a rekonstituce informačního systému | Obnovení během časového období | Microsoft implementuje toto řízení plánování nepředvídaných událostí. | audit | 1.0.0 |
Identifikace a ověřování
Zásady a postupy identifikace a ověřování
ID: NIST SP 800-53 Rev. 4 IA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 – Zásady a postupy identifikace a ověřování | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1299 – Zásady a postupy identifikace a ověřování | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Identifikace a ověřování (uživatelé organizace)
ID: NIST SP 800-53 Rev. 4 IA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1300 – Identifikace a ověřování uživatelů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Síťový přístup k privilegovaným účtům
ID: NIST SP 800-53 Rev. 4 IA-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Microsoft Managed Control 1301 – Identifikace a ověřování uživatele | Síťový přístup k privilegovaným účtům | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Síťový přístup k neprivilegovaným účtům
ID: NIST SP 800-53 Rev. 4 IA-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Microsoft Managed Control 1302 – Identifikace a ověřování uživatele | Síťový přístup k neprivilegovaným účtům | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Místní přístup k privilegovaným účtům
ID: NIST SP 800-53 Rev. 4 IA-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1303 – Identifikace a ověřování uživatele | Místní přístup k privilegovaným účtům | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Místní přístup k neprivilegovaným účtům
ID: NIST SP 800-53 Rev. 4 IA-2 (4) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1304 – Identifikace a ověřování uživatele | Místní přístup k neprivilegovaným účtům | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ověřování skupin
ID: NIST SP 800-53 Rev. 4 IA-2 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 – Identifikace a ověřování uživatelů | Ověřování skupin | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Síťový přístup k privilegovaným účtům – přehrání odolného
ID: NIST SP 800-53 Rev. 4 IA-2 (8) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 – Identifikace a ověřování uživatele | Síťový přístup k privilegovaným účtům – přehrání... | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Síťový přístup k neprivilegovaným účtům – přehrání odolné
ID: NIST SP 800-53 Rev. 4 IA-2 (9) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1307 – Identifikace a ověřování uživatele | Síťový přístup k neprivilegovaným účtům – přehrání... | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Vzdálený přístup – samostatné zařízení
ID: NIST SP 800-53 Rev. 4 IA-2 (11) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1308 – Identifikace a ověřování uživatele | Vzdálený přístup – samostatné zařízení | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Přijetí přihlašovacích údajů piv
ID: NIST SP 800-53 Rev. 4 IA-2 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 – Identifikace a ověřování uživatele | Přijetí přihlašovacích údajů piv | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Identifikace a ověřování zařízení
ID: NIST SP 800-53 Rev. 4 IA-3 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 – Identifikace a ověřování zařízení | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Správa identifikátorů
ID: NIST SP 800-53 Rev. 4 IA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1311 – Správa identifikátorů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1312 – Správa identifikátorů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1313 – Správa identifikátorů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1314 – Správa identifikátorů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1315 – Správa identifikátorů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Identifikace stavu uživatele
ID: NIST SP 800-53 Rev. 4 IA-4 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 – Správa identifikátorů | Identifikace stavu uživatele | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Správa authenticatoru
ID: NIST SP 800-53 Rev. 4 IA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 1.4.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1318 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1319 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1320 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1321 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1322 – Správa authenticatoru | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1323 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1324 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1325 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1326 – Authenticator Management | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ověřování založené na heslech
ID: NIST SP 800-53 Rev. 4 IA-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 1.3.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 1.4.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 1.1.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 1.1.0 |
| Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. | AuditIfNotExists, zakázáno | 1.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 1.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 1.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 – Správa authenticatoru | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1328 - Authenticator Management | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1329 – Správa authenticatoru | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1330 – Správa authenticatoru | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1331 – Správa authenticatoru | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1332 – Správa authenticatoru | Ověřování založené na heslech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ověřování na základě infrastruktury veřejných klíčů
ID: NIST SP 800-53 Rev. 4 IA-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 – Správa authenticatoru | Ověřování na základě infrastruktury veřejných klíčů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1334 – Správa authenticatoru | Ověřování na základě infrastruktury veřejných klíčů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1335 – Správa authenticatoru | Ověřování na základě infrastruktury veřejných klíčů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
| Microsoft Managed Control 1336 – Authenticator Management | Ověřování na základě infrastruktury veřejných klíčů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Osobně nebo důvěryhodná registrace třetích stran
ID: NIST SP 800-53 Rev. 4 IA-5 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1337 – Správa authenticatoru | Osobně nebo důvěryhodná registrace třetích stran | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Automatizovaná podpora pro stanovení síly hesla
ID: NIST SP 800-53 Rev. 4 IA-5 (4) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1338 – Správa authenticatoru | Automatizovaná podpora pro stanovení síly hesla | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ochrana ověřovacích prostředků
ID: NIST SP 800-53 Rev. 4 IA-5 (6) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 – Správa authenticatoru | Ochrana ověřovacích prostředků | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Žádné vložené nešifrované statické ověřovací objekty
ID: NIST SP 800-53 Rev. 4 IA-5 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 – Správa authenticatoru | Žádné vložené nešifrované statické ověřovací objekty | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Více účtů informačního systému
ID: NIST SP 800-53 Rev. 4 IA-5 (8) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 – Authenticator Management | Více účtů informačního systému | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ověřování založené na hardwarových tokenech
ID: NIST SP 800-53 Rev. 4 IA-5 (11) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1342 – Správa authenticatoru | Ověřování založené na hardwarových tokenech | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Vypršení platnosti ověřovacích modulů uložených v mezipaměti
ID: NIST SP 800-53 Rev. 4 IA-5 (13) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 – Správa authenticatoru | Vypršení platnosti ověřovacích modulů uložených v mezipaměti | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Zpětná vazba k ověřovacímu programu
ID: NIST SP 800-53 Rev. 4 IA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 – Zpětná vazba k authenticatoru | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Ověřování kryptografických modulů
ID: NIST SP 800-53 Rev. 4 IA-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 – Ověřování kryptografických modulů | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Identifikace a ověřování (uživatelé mimo organizaci)
ID: NIST SP 800-53 Rev. 4 IA-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 – Identifikace a ověřování (uživatelé mimo organizaci) | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Přijetí přihlašovacích údajů piv od jiných agentur
ID: NIST SP 800-53 Rev. 4 IA-8 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 – Identifikace a ověřování (uživatelé mimo organizaci) | Přijetí přihlašovacích údajů piv... | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Přijetí přihlašovacích údajů třetích stran
ID: NIST SP 800-53 Rev. 4 IA-8 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 – Identifikace a ověřování (uživatelé mimo organizaci) | Přijetí třetí strany... | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Použití produktů schválených ficamem
ID: NIST SP 800-53 Rev. 4 IA-8 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1349 – Identifikace a ověřování (uživatelé mimo organizaci) | Použití produktů schválených ficamem | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Použití profilů vystavených ficamem
ID: NIST SP 800-53 Rev. 4 IA-8 (4) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 – Identifikace a ověřování (uživatelé mimo organizaci) | Použití profilů vystavených ficamem | Microsoft implementuje tento ovládací prvek identifikace a ověřování. | audit | 1.0.0 |
Reakce na incident
Zásady a postupy reakce na incidenty
ID: NIST SP 800-53 Rev. 4 IR-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 – Zásady a postupy reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1352 – Zásady a postupy reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Školení k reakcím na incidenty
ID: NIST SP 800-53 Rev. 4 IR-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 – Školení reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1354 – Školení pro reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1355 – Školení reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Simulované události
ID: NIST SP 800-53 Rev. 4 IR-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 – Školení pro reakce na incidenty | Simulované události | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Automatizovaná trénovací prostředí
ID: NIST SP 800-53 Rev. 4 IR-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 – Školení k reakcím na incidenty | Automatizovaná trénovací prostředí | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Testování reakcí na incidenty
ID: NIST SP 800-53 Rev. 4 IR-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 – Testování reakcí na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Koordinace se souvisejícími plány
ID: NIST SP 800-53 Rev. 4 IR-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 – Testování reakcí na incidenty | Koordinace se souvisejícími plány | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Zpracování incidentů
ID: NIST SP 800-53 Rev. 4 IR-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1360 – Zpracování incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1361 – Zpracování incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1362 – Zpracování incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Automatizované procesy zpracování incidentů
ID: NIST SP 800-53 Rev. 4 IR-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 – Zpracování incidentů | Automatizované procesy zpracování incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Dynamická rekonfigurace
ID: NIST SP 800-53 Rev. 4 IR-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 – Zpracování incidentů | Dynamická rekonfigurace | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Kontinuita provozu
ID: NIST SP 800-53 Rev. 4 IR-4 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 – Zpracování incidentů | Kontinuita provozu | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Korelace informací
ID: NIST SP 800-53 Rev. 4 IR-4 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 – Zpracování incidentů | Korelace informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Insider Threats – specifické možnosti
ID: NIST SP 800-53 Rev. 4 IR-4 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 – Zpracování incidentů | Insider Threats – specifické možnosti | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Korelace s externími organizacemi
ID: NIST SP 800-53 Rev. 4 IR-4 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 – Zpracování incidentů | Korelace s externími organizacemi | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Monitorování incidentů
ID: NIST SP 800-53 Rev. 4 IR-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1369 – Monitorování incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Automatizované sledování / Shromažďování dat / Analýza
ID: NIST SP 800-53 Rev. 4 IR-5 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 – Monitorování incidentů | Automatizované sledování / Shromažďování dat / Analýza | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Hlášení incidentů
ID: NIST SP 800-53 Rev. 4 IR-6 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 – Hlášení incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1372 – Hlášení incidentů | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Automatizované generování sestav
ID: NIST SP 800-53 Rev. 4 IR-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 – Hlášení incidentů | Automatizované generování sestav | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Ohrožení zabezpečení související s incidenty
ID: NIST SP 800-53 Rev. 4 IR-6 (2) Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Pomoc s reakcí na incidenty
ID: NIST SP 800-53 Rev. 4 IR-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 – Pomoc s reakcí na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Podpora automatizace pro dostupnost informací / podpora
ID: NIST SP 800-53 Rev. 4 IR-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 – Pomoc s reakcí na incidenty | Podpora automatizace pro dostupnost informací / podpora | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Koordinace s externími poskytovateli
ID: NIST SP 800-53 Rev. 4 IR-7 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 – Pomoc s reakcí na incidenty | Koordinace s externími poskytovateli | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1377 – Pomoc s reakcí na incidenty | Koordinace s externími poskytovateli | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Plán reakcí na incidenty
ID: NIST SP 800-53 Rev. 4 IR-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1379 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1380 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1381 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1382 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1383 – Plán reakce na incidenty | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Odpověď na přelití informací
ID: NIST SP 800-53 Rev. 4 IR-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 – Odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1385 – odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1386 – Odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1387 – Odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1388 – Odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
| Microsoft Managed Control 1389 – Odpověď na únik informací | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Zodpovědní pracovníci
ID: NIST SP 800-53 Rev. 4 IR-9 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1390 – Odpověď na únik informací | Zodpovědní pracovníci | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Školení
ID: NIST SP 800-53 Rev. 4 IR-9 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 – Odpověď na únik informací | Školení | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Operace po rozlití
ID: NIST SP 800-53 Rev. 4 IR-9 (3) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 - Information Spillage Response | Operace po rozlití | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Vystavení neoprávněným pracovníkům
ID: NIST SP 800-53 Rev. 4 IR-9 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 - Information Spillage Response | Vystavení neoprávněným pracovníkům | Microsoft implementuje toto řízení reakce na incidenty. | audit | 1.0.0 |
Údržba
Zásady a postupy údržby systému
ID: NIST SP 800-53 Rev. 4 MA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 – Zásady a postupy údržby systému | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1395 – Zásady a postupy údržby systému | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Řízená údržba
ID: NIST SP 800-53 Rev. 4 MA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1397 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1398 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1399 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1400 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1401 – řízená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Automatizované aktivity údržby
ID: NIST SP 800-53 Rev. 4 MA-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 – řízená údržba | Automatizované aktivity údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1403 – řízená údržba | Automatizované aktivity údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Nástroje údržby
ID: NIST SP 800-53 Rev. 4 MA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 – Nástroje údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Kontrola nástrojů
ID: NIST SP 800-53 Rev. 4 MA-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 – Nástroje údržby | Kontrola nástrojů | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Kontrola média
ID: NIST SP 800-53 Rev. 4 MA-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 – Nástroje údržby | Kontrola média | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Zabránit neoprávněnému odebrání
ID: NIST SP 800-53 Rev. 4 MA-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 – Nástroje údržby | Zabránit neoprávněnému odebrání | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1408 – Nástroje údržby | Zabránit neoprávněnému odebrání | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1409 – Nástroje údržby | Zabránit neoprávněnému odebrání | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1410 – Nástroje údržby | Zabránit neoprávněnému odebrání | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Nelokální údržba
ID: NIST SP 800-53 Rev. 4 MA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 – Vzdálená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1412 – Vzdálená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1413 – Vzdálená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1414 – Vzdálená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1415 – Vzdálená údržba | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Document Nonlocal Maintenance
ID: NIST SP 800-53 Rev. 4 MA-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1416 – Vzdálená údržba | Dokumentovat vzdálenou údržbu | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Srovnatelné zabezpečení / sanitizace
ID: NIST SP 800-53 Rev. 4 MA-4 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 – Vzdálená údržba | Srovnatelné zabezpečení / sanitizace | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1418 – Vzdálená údržba | Srovnatelné zabezpečení / sanitizace | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Kryptografická ochrana
ID: NIST SP 800-53 Rev. 4 MA-4 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 – Vzdálená údržba | Kryptografická ochrana | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Pracovníci údržby
ID: NIST SP 800-53 Rev. 4 MA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 – Pracovníci údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1421 – Pracovníci údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1422 – Pracovníci údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Jednotlivci bez odpovídajícího přístupu
ID: NIST SP 800-53 Rev. 4 MA-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 – Personál údržby | Jednotlivci bez odpovídajícího přístupu | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
| Microsoft Managed Control 1424 – Personál údržby | Jednotlivci bez odpovídajícího přístupu | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Včasná údržba
ID: NIST SP 800-53 Rev. 4 MA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 – Včasné údržby | Microsoft implementuje toto řízení údržby. | audit | 1.0.0 |
Ochrana médií
Zásady a postupy ochrany médií
ID: NIST SP 800-53 Rev. 4 MP-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 – Zásady a postupy ochrany médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1427 – Zásady a postupy ochrany médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Přístup k médiím
ID: NIST SP 800-53 Rev. 4 MP-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 – Přístup k médiím | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Označení médií
ID: NIST SP 800-53 Rev. 4 MP-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 – Označování médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1430 – Označování médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Media Storage
ID: NIST SP 800-53 Rev. 4 MP-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 – Media Storage | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1432 – Media Storage | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Přenos médií
ID: NIST SP 800-53 Rev. 4 MP-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 – Přenos médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1434 – Přenos médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1435 – Přenos médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1436 – Přenos médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Kryptografická ochrana
ID: NIST SP 800-53 Rev. 4 MP-5 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1437 - Media Transport | Kryptografická ochrana | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Sanitizace médií
ID: NIST SP 800-53 Rev. 4 MP-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 – Sanitizace a likvidace médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
| Microsoft Managed Control 1439 – Sanitizace a likvidace médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Kontrola, schválení, sledování, dokument / ověření
ID: NIST SP 800-53 Rev. 4 MP-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 – Sanitizace a likvidace médií | Kontrola, schválení, sledování, dokument / ověření | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Testování vybavení
ID: NIST SP 800-53 Rev. 4 MP-6 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 – Sanitizace a likvidace médií | Testování vybavení | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Nedestruktivní techniky
ID: NIST SP 800-53 Rev. 4 MP-6 (3) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 – Sanitizace a odstraňování médií | Nedestruktivní techniky | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Použití médií
ID: NIST SP 800-53 Rev. 4 MP-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 – Použití médií | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Zakázat použití bez vlastníka
ID: NIST SP 800-53 Rev. 4 MP-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1444 – Použití médií | Zakázat použití bez vlastníka | Microsoft implementuje tento ovládací prvek Media Protection. | audit | 1.0.0 |
Fyzická ochrana a ochrana životního prostředí
Zásady a postupy ochrany životního prostředí a fyzické ochrany životního prostředí
ID: NIST SP 800-53 Rev. 4 PE-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 – fyzické a environmentální zásady a postupy ochrany životního prostředí | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1446 – zásady a postupy ochrany fyzického a životního prostředí | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Autorizace fyzického přístupu
ID: NIST SP 800-53 Rev. 4 PE-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 – Autorizace fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1448 – Autorizace fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1449 – Autorizace fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1450 – Autorizace fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Fyzické řízení přístupu
ID: NIST SP 800-53 Rev. 4 PE-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1452 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1453 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1454 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1455 – fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1456 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1457 – Fyzické řízení přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Přístup k informačnímu systému
ID: NIST SP 800-53 Rev. 4 PE-3 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 – fyzické řízení přístupu | Přístup k informačnímu systému | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Řízení přístupu pro přenosové médium
ID: NIST SP 800-53 Rev. 4 PE-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 - Řízení přístupu pro přenosové médium | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Řízení přístupu pro výstupní zařízení
ID: NIST SP 800-53 Rev. 4 PE-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 – Řízení přístupu pro výstupní zařízení | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Monitorování fyzického přístupu
ID: NIST SP 800-53 Rev. 4 PE-6 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 – Monitorování fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1462 – Monitorování fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1463 – Monitorování fyzického přístupu | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Vniknutí alarmů / sledovací zařízení
ID: NIST SP 800-53 Rev. 4 PE-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 – Monitorování fyzického přístupu | Vniknutí alarmů / sledovací zařízení | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Monitorování fyzického přístupu k informačním systémům
ID: NIST SP 800-53 Rev. 4 PE-6 (4) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 – Monitorování fyzického přístupu | Monitorování fyzického přístupu k informačním systémům | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Záznamy o přístupu návštěvníka
ID: NIST SP 800-53 Rev. 4 PE-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 – Záznamy přístupu návštěvníka | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1467 – Záznamy přístupu návštěvníka | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Automatická údržba a kontrola záznamů
ID: NIST SP 800-53 Rev. 4 PE-8 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 - Visitor Access Records | Automatická údržba a kontrola záznamů | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Napájecí zařízení a kabeláž
ID: NIST SP 800-53 Rev. 4 PE-9 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 – Napájecí vybavení a kabeláž | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Vypnutí tísňového volání
ID: NIST SP 800-53 Rev. 4 PE-10 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 – Nouzové vypnutí | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1471 – Nouzové vypnutí | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1472 – Nouzové vypnutí | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Nouzový výkon
ID: NIST SP 800-53 Rev. 4 PE-11 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 – Nouzový výkon | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Dlouhodobý alternativní napájecí zdroj – minimální provozní schopnost
ID: NIST SP 800-53 Rev. 4 PE-11 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 – Nouzový výkon | Dlouhodobý alternativní napájecí zdroj – minimální provozní schopnost | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Nouzové osvětlení
ID: NIST SP 800-53 Rev. 4 PE-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 – Nouzové osvětlení | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Ochrana proti požáru
ID: NIST SP 800-53 Rev. 4 PE-13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 – Ochrana proti požáru | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Zařízení detekce / systémy
ID: NIST SP 800-53 Rev. 4 PE-13 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 - Fire Protection | Zařízení detekce / systémy | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Zařízení potlačení / systémy
ID: NIST SP 800-53 Rev. 4 PE-13 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 - Fire Protection | Zařízení potlačení / systémy | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Automatické potlačení požáru
ID: NIST SP 800-53 Rev. 4 PE-13 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1479 - Fire Protection | Automatické potlačení požáru | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Ovládací prvky teploty a vlhkosti
ID: NIST SP 800-53 Rev. 4 PE-14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 - Řízení teploty a vlhkosti | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1481 - Řízení teploty a vlhkosti | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Monitorování pomocí alarmů / oznámení
ID: NIST SP 800-53 Rev. 4 PE-14 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 - Řízení teploty a vlhkosti | Monitorování pomocí alarmů / oznámení | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Ochrana proti poškození vody
ID: NIST SP 800-53 Rev. 4 PE-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 – Ochrana proti poškození vody | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Podpora automatizace
ID: NIST SP 800-53 Rev. 4 PE-15 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 - Ochrana proti poškození vody | Podpora automatizace | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Doručení a odebrání
ID: NIST SP 800-53 Rev. 4 PE-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 – Doručování a odebrání | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Alternativní pracovní web
ID: NIST SP 800-53 Rev. 4 PE-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 – alternativní pracovní web | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1487 – alternativní pracovní web | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
| Microsoft Managed Control 1488 – alternativní pracovní web | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Umístění komponent informačního systému
ID: NIST SP 800-53 Rev. 4 PE-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 – umístění součástí informačního systému | Microsoft implementuje tuto kontrolu fyzické ochrany a ochrany životního prostředí. | audit | 1.0.0 |
Plánování
Zásady a postupy plánování zabezpečení
ID: NIST SP 800-53 Rev. 4 PL-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 – Zásady a postupy plánování zabezpečení | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1491 – Zásady a postupy plánování zabezpečení | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Plán zabezpečení systému
ID: NIST SP 800-53 Rev. 4 PL-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 – Plán zabezpečení systému | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1493 – Plán zabezpečení systému | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1494 – Plán zabezpečení systému | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1495 – Plán zabezpečení systému | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1496 – Plán zabezpečení systému | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Plánování a koordinace s jinými organizačními entitami
ID: NIST SP 800-53 Rev. 4 PL-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1497 – Plán zabezpečení systému | Plánování a koordinace s jinými organizačními entitami | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Pravidla chování
ID: NIST SP 800-53 Rev. 4 PL-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 – pravidla chování | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1499 – pravidla chování | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1500 – pravidla chování | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1501 – pravidla chování | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Omezení sociálních médií a sítí
ID: NIST SP 800-53 Rev. 4 PL-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 – pravidla chování | Omezení sociálních médií a sítí | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Architektura zabezpečení informací
ID: NIST SP 800-53 Rev. 4 PL-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 – Architektura zabezpečení informací | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1504 – Architektura zabezpečení informací | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
| Microsoft Managed Control 1505 – Architektura zabezpečení informací | Microsoft implementuje tento ovládací prvek plánování. | audit | 1.0.0 |
Zabezpečení personálu
Zásady a postupy zabezpečení pracovníků
ID: NIST SP 800-53 Rev. 4 PS-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 – Zásady a postupy zabezpečení pracovníků | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1507 – Zásady a postupy zabezpečení pracovníků | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Označení rizika pozice
ID: NIST SP 800-53 Rev. 4 PS-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 – Kategorizace pozice | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1509 – kategorizace pozice | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1510 – Kategorizace pozice | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Screening personálu
ID: NIST SP 800-53 Rev. 4 PS-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 – Screening personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1512 – Kontrola personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Informace se zvláštními ochrannými opatřeními
ID: NIST SP 800-53 Rev. 4 PS-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 – Kontrola personálu | Informace se zvláštními ochrannými opatřeními | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1514 – Personální kontrola | Informace se zvláštními ochrannými opatřeními | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Ukončení personálního oddělení
ID: NIST SP 800-53 Rev. 4 PS-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1516 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1517 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1518 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1519 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1520 – Ukončení personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Automatizované oznámení
ID: NIST SP 800-53 Rev. 4 PS-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 – Ukončení personálu | Automatizované oznámení | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Transfer personálu
ID: NIST SP 800-53 Rev. 4 PS-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 – Transfer personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1523 – Transfer personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1524 – Transfer pracovníků | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1525 – Transfer personálu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Přístupové smlouvy
ID: NIST SP 800-53 Rev. 4 PS-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 – Smlouvy o přístupu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1527 – Smlouvy o přístupu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1528 – Smlouvy o přístupu | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Zabezpečení pracovníků třetích stran
ID: NIST SP 800-53 Rev. 4 PS-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 – Zabezpečení pracovníků třetích stran | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1530 – Zabezpečení pracovníků třetích stran | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1531 – Zabezpečení pracovníků třetích stran | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1532 – Zabezpečení pracovníků třetích stran | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1533 – Zabezpečení pracovníků třetích stran | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Schválení personálu
ID: NIST SP 800-53 Rev. 4 PS-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 – Personální sankce | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
| Microsoft Managed Control 1535 – Personální sankce | Microsoft implementuje toto řízení zabezpečení pracovníků. | audit | 1.0.0 |
Hodnocení rizika
Zásady a postupy posouzení rizik
ID: NIST SP 800-53 Rev. 4 RA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 – Zásady a postupy posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1537 – Zásady a postupy posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Kategorizace zabezpečení
ID: NIST SP 800-53 Rev. 4 RA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 – Kategorizace zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1539 – Kategorizace zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1540 – Kategorizace zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Hodnocení rizika
ID: NIST SP 800-53 Rev. 4 RA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 – Posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1542 – Posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1543 – Posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1544 – Posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1545 – Posouzení rizik | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Kontrola ohrožení zabezpečení
ID: NIST SP 800-53 Rev. 4 RA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1546 – Kontrola ohrožení zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1547 – Kontrola ohrožení zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1548 – Kontrola ohrožení zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1549 – Kontrola ohrožení zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Microsoft Managed Control 1550 – Kontrola ohrožení zabezpečení | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
| V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Funkce nástroje pro aktualizaci
ID: NIST SP 800-53 Rev. 4 RA-5 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1551 – Kontrola ohrožení zabezpečení | Funkce nástroje pro aktualizaci | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Aktualizace podle frekvence / před novou kontrolou / při zjištění
ID: NIST SP 800-53 Rev. 4 RA-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 – Kontrola ohrožení zabezpečení | Aktualizace podle frekvence / před novou kontrolou / při zjištění | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Šířka / hloubka pokrytí
ID: NIST SP 800-53 Rev. 4 RA-5 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 – Kontrola ohrožení zabezpečení | Šířka / hloubka pokrytí | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Zjistitelné informace
ID: NIST SP 800-53 Rev. 4 RA-5 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 – Kontrola ohrožení zabezpečení | Zjistitelné informace | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Privilegovaný přístup
ID: NIST SP 800-53 Rev. 4 RA-5 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 – Kontrola ohrožení zabezpečení | Privilegovaný přístup | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Automatizované analýzy trendu
ID: NIST SP 800-53 Rev. 4 RA-5 (6) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 – Kontrola ohrožení zabezpečení | Automatizované analýzy trendu | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Kontrola historických protokolů auditu
ID: NIST SP 800-53 Rev. 4 RA-5 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 – Kontrola ohrožení zabezpečení | Kontrola historických protokolů auditu | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Korelace informací o kontrole
ID: NIST SP 800-53 Rev. 4 RA-5 (10) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 – Kontrola ohrožení zabezpečení | Korelace informací o kontrole | Microsoft implementuje toto řízení posouzení rizik. | audit | 1.0.0 |
Získání systémů a služeb
Zásady a postupy získávání systémů a služeb
ID: NIST SP 800-53 Rev. 4 SA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 – Zásady a postupy získávání systémů a služeb | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1560 – Zásady a postupy získávání systémů a služeb | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Přidělení prostředků
ID: NIST SP 800-53 Rev. 4 SA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 – Přidělování prostředků | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1562 – Přidělování prostředků | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1563 – Přidělování prostředků | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Životní cyklus vývoje systému
ID: NIST SP 800-53 Rev. 4 SA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 – Životní cyklus vývoje systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1565 – Životní cyklus vývoje systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1566 – Životní cyklus vývoje systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1567 – Životní cyklus vývoje systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Proces získání
ID: NIST SP 800-53 Rev. 4 SA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1569 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1570 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1571 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1572 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1573 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1574 – Proces získání | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Funkční vlastnosti ovládacích prvků zabezpečení
ID: NIST SP 800-53 Rev. 4 SA-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 – Proces získání | Funkční vlastnosti ovládacích prvků zabezpečení | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Informace o návrhu a implementaci ovládacích prvků zabezpečení
ID: NIST SP 800-53 Rev. 4 SA-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 - Acquisitions Process | Informace o návrhu a implementaci ovládacích prvků zabezpečení | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Plán průběžného monitorování
ID: NIST SP 800-53 Rev. 4 SA-4 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 - Acquisitions Process | Plán průběžného monitorování | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Funkce / Porty / Protokoly / Používané služby
ID: NIST SP 800-53 Rev. 4 SA-4 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 - Acquisitions Process | Funkce / Porty / Protokoly / Používané služby | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Použití schválených pivních výrobků
ID: NIST SP 800-53 Rev. 4 SA-4 (10) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 – Proces získání | Použití schválených pivních výrobků | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Dokumentace k informačnímu systému
ID: NIST SP 800-53 Rev. 4 SA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 – Dokumentace k informačnímu systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1581 – Dokumentace k informačnímu systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1582 – Dokumentace k informačnímu systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1583 – Dokumentace k informačnímu systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1584 – Dokumentace k informačnímu systému | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Principy přípravy zabezpečení
ID: NIST SP 800-53 Rev. 4 SA-8 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 – Principy přípravy zabezpečení | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Služby externího informačního systému
ID: NIST SP 800-53 Rev. 4 SA-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 – Externí informační systém Services | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1587 - External Information System Services | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1588 - External Information System Services | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Posouzení rizik / Schválení organizace
ID: NIST SP 800-53 Rev. 4 SA-9 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 - External Information System Services | Posouzení rizik / Schválení organizace | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1590 - External Information System Services | Posouzení rizik / Schválení organizace | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Identifikace funkcí / portů / protokolů / služeb
ID: NIST SP 800-53 Rev. 4 SA-9 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 - External Information System Services | Identifikace funkcí / portů / protokolů... | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Konzistentní zájmy spotřebitelů a poskytovatelů
ID: NIST SP 800-53 Rev. 4 SA-9 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 - External Information System Services | Konzistentní zájmy spotřebitelů a poskytovatelů | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Zpracování, úložiště a umístění služby
ID: NIST SP 800-53 Rev. 4 SA-9 (5) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 - External Information System Services | Zpracování, úložiště a umístění služby | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Správa konfigurací pro vývojáře
ID: NIST SP 800-53 Rev. 4 SA-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 – Správa konfigurace pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1595 – Správa konfigurace pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1596 – Správa konfigurace pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1597 – Správa konfigurace pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1598 – Správa konfigurace pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Ověření integrity softwaru a firmwaru
ID: NIST SP 800-53 Rev. 4 SA-10 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 – Správa konfigurace pro vývojáře | Ověření integrity softwaru a firmwaru | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Testování a vyhodnocení zabezpečení pro vývojáře
ID: NIST SP 800-53 Rev. 4 SA-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 – Testování a testování zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1601 – Testování a vyhodnocení zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1602 – Testování a vyhodnocení zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1603 – Testování a vyhodnocení zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1604 – Testování a testování zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Analýza statického kódu
ID: NIST SP 800-53 Rev. 4 SA-11 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 – Testování a vyhodnocení zabezpečení pro vývojáře | Analýza statického kódu | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Analýzy hrozeb a ohrožení zabezpečení
ID: NIST SP 800-53 Rev. 4 SA-11 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 – Testování a vyhodnocení zabezpečení pro vývojáře | Analýzy hrozeb a ohrožení zabezpečení | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Dynamická analýza kódu
ID: NIST SP 800-53 Rev. 4 SA-11 (8) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 – Testování a vyhodnocení zabezpečení pro vývojáře | Dynamická analýza kódu | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Ochrana dodavatelského řetězce
ID: NIST SP 800-53 Rev. 4 SA-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1608 – Ochrana dodavatelského řetězce | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Vývojový proces, standardy a nástroje
ID: NIST SP 800-53 Rev. 4 SA-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 – proces vývoje, standardy a nástroje | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1610 – Proces vývoje, standardy a nástroje | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Školení poskytované vývojářem
ID: NIST SP 800-53 Rev. 4 SA-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 – školení poskytované vývojářem | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Architektura a návrh zabezpečení pro vývojáře
ID: NIST SP 800-53 Rev. 4 SA-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 – Architektura a návrh zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1613 – Architektura a návrh zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
| Microsoft Managed Control 1614 – Architektura a návrh zabezpečení pro vývojáře | Microsoft implementuje tuto kontrolu nad získáním systému a služeb. | audit | 1.0.0 |
Ochrana systému a komunikací
Zásady a postupy ochrany systémů a komunikací
ID: NIST SP 800-53 Rev. 4 SC-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 – Zásady a postupy ochrany systémů a komunikací | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1616 – Zásady a postupy ochrany systému a komunikace | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Dělení aplikace
ID: NIST SP 800-53 Rev. 4 SC-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 – Dělení aplikací | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Izolace funkce zabezpečení
ID: NIST SP 800-53 Rev. 4 SC-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Managed Control 1618 – Izolace funkcí zabezpečení | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 1.1.1 |
Informace ve sdílených prostředcích
ID: NIST SP 800-53 Rev. 4 SC-4 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 – informace ve sdílených prostředcích | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Ochrana před odepřením služby
ID: NIST SP 800-53 Rev. 4 SC-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1620 – Odepření ochrany služeb | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Dostupnost prostředku
ID: NIST SP 800-53 Rev. 4 SC-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 – Dostupnost prostředků | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Ochrana hranic
ID: NIST SP 800-53 Rev. 4 SC-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 1.4.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1622 – ochrana hranic | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1623 – Ochrana hranic | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1624 – ochrana hranic | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Přístupové body
ID: NIST SP 800-53 Rev. 4 SC-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.0 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 1.4.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Microsoft Managed Control 1625 – Ochrana hranic | Přístupové body | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Externí telekomunikační služby
ID: NIST SP 800-53 Rev. 4 SC-7 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 – Ochrana hranic | Externí telekomunikační služby | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1627 – Ochrana hranic | Externí telekomunikační služby | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1628 – Ochrana hranic | Externí telekomunikační služby | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1629 – Ochrana hranic | Externí telekomunikační služby | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1630 – ochrana hranic | Externí telekomunikační služby | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Odepřít ve výchozím nastavení / Povolit podle výjimky
ID: NIST SP 800-53 Rev. 4 SC-7 (5) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1631 – Ochrana hranic | Odepřít ve výchozím nastavení / Povolit podle výjimky | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Zabránění rozdělení tunelového propojení pro vzdálená zařízení
ID: NIST SP 800-53 Rev. 4 SC-7 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 – Ochrana hranic | Zabránění rozdělení tunelového propojení pro vzdálená zařízení | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Směrování provozu na ověřené proxy servery
ID: NIST SP 800-53 Rev. 4 SC-7 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 – Ochrana hranic | Směrování provozu na ověřené proxy servery | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Zabránit neoprávněnému exfiltraci
ID: NIST SP 800-53 Rev. 4 SC-7 (10) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 – Ochrana hranic | Zabránit neoprávněnému exfiltraci | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Ochrana založená na hostiteli
ID: NIST SP 800-53 Rev. 4 SC-7 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 – Ochrana hranic | Ochrana založená na hostiteli | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Izolace nástrojů zabezpečení / mechanismů / podpůrných komponent
ID: NIST SP 800-53 Rev. 4 SC-7 (13) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 – ochrana hranic | Izolace nástrojů zabezpečení / mechanismů / podpůrných komponent | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Zabezpečení selhání
ID: NIST SP 800-53 Rev. 4 SC-7 (18) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 – Ochrana hranic | Zabezpečení selhání | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Dynamická izolace / oddělení
ID: NIST SP 800-53 Rev. 4 SC-7 (20) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 – Ochrana hranic | Dynamická izolace / oddělení | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Izolace komponent informačního systému
ID: NIST SP 800-53 Rev. 4 SC-7 (21) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 – Ochrana hranic | Izolace komponent informačního systému | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Důvěrnost a integrita přenosu
ID: NIST SP 800-53 Rev. 4 SC-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Microsoft Managed Control 1640 – Důvěrnost a integrita přenosu | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 3.0.1 |
Kryptografická nebo alternativní fyzická ochrana
ID: NIST SP 800-53 Rev. 4 SC-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Microsoft Managed Control 1641 – Důvěrnost a integrita přenosu | Kryptografická nebo alternativní fyzická ochrana | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 3.0.1 |
Odpojení sítě
ID: NIST SP 800-53 Rev. 4 SC-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 – Odpojení sítě | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Vytvoření a správa kryptografických klíčů
ID: NIST SP 800-53 Rev. 4 SC-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
| Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. | Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli. | Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. | Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. | Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem. | Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. | Audit, zakázáno | 1.0.0 |
| Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem. | Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Microsoft Managed Control 1643 – Vytvoření a správa kryptografických klíčů | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. | Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. | Audit, zakázáno | 1.0.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
Dostupnost
ID: NIST SP 800-53 Rev. 4 SC-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 – Vytvoření a správa kryptografických klíčů | Dostupnost | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Symetrické klíče
ID: NIST SP 800-53 Rev. 4 SC-12 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 – Vytvoření a správa kryptografických klíčů | Symetrické klíče | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Asymetrické klíče
ID: NIST SP 800-53 Rev. 4 SC-12 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 – Vytvoření a správa kryptografických klíčů | Asymetrické klíče | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Kryptografická ochrana
ID: NIST SP 800-53 Rev. 4 SC-13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 – použití kryptografie | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Výpočetní zařízení pro spolupráci
ID: NIST SP 800-53 Rev. 4 SC-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 – zařízení pro spolupráci | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1649 – Zařízení pro spolupráci | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Certifikáty infrastruktury veřejných klíčů
ID: NIST SP 800-53 Rev. 4 SC-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 – Certifikáty infrastruktury veřejných klíčů | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Mobilní kód
ID: NIST SP 800-53 Rev. 4 SC-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 – mobilní kód | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1652 – mobilní kód | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1653 – mobilní kód | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Voice Over Internet Protocol
ID: NIST SP 800-53 Rev. 4 SC-19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1654 – Voice Over Internet Protocol | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1655 – Voice Over Internet Protocol | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Secure Name /Address Resolution Service (autoritativní zdroj)
ID: NIST SP 800-53 Rev. 4 SC-20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 – Zabezpečený název / Služba překladu adres (autoritativní zdroj) | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Microsoft Managed Control 1657 – Zabezpečený název / Služba překladu adres (autoritativní zdroj) | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Služba překladu zabezpečených názvů /adres (rekurzivní překladač nebo překladač ukládání do mezipaměti)
ID: NIST SP 800-53 Rev. 4 SC-21 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 – Zabezpečený název / Služba překladu adres (rekurzivní překladač nebo překladač do mezipaměti) | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Architektura a zřizování pro službu překladu názvů a adres
ID: NIST SP 800-53 Rev. 4 SC-22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 – architektura a zřizování pro službu překladu adres a názvu | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Pravost relace
ID: NIST SP 800-53 Rev. 4 SC-23 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 – Pravost relací | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Zneplatnění identifikátorů relace při odhlášení
ID: NIST SP 800-53 Rev. 4 SC-23 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 – Pravost relace | Zneplatnění identifikátorů relace při odhlášení | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Selhání ve známém stavu
ID: NIST SP 800-53 Rev. 4 SC-24 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 – Selhání ve známém stavu | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Ochrana neaktivních uložených informací
ID: NIST SP 800-53 Rev. 4 SC-28 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Microsoft Managed Control 1663 – Ochrana neaktivních uložených informací | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Kryptografická ochrana
ID: NIST SP 800-53 Rev. 4 SC-28 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Microsoft Managed Control 1664 – Ochrana neaktivních uložených informací | Kryptografická ochrana | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Izolace procesů
ID: NIST SP 800-53 Rev. 4 SC-39 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 – Izolace procesů | Microsoft implementuje tento systém a řízení ochrany komunikací. | audit | 1.0.0 |
Integrita systému a informací
Zásady a postupy integrity systému a informací
ID: NIST SP 800-53 Rev. 4 SI-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 – Zásady a postupy integrity systému a informací | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1667 – Zásady a postupy integrity systému a informací | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Náprava chyb
ID: NIST SP 800-53 Rev. 4 SI-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1668 – Náprava chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1669 – Náprava chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1670 – Náprava chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1671 – Náprava chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Centrální správa
ID: NIST SP 800-53 Rev. 4 SI-2 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1672 – Náprava chyb | Centrální správa | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizovaný stav nápravy chyb
ID: NIST SP 800-53 Rev. 4 SI-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 – Náprava chyb | Automatizovaný stav nápravy chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Doba nápravy chyb / srovnávacích testů pro opravné akce
ID: NIST SP 800-53 Rev. 4 SI-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 – Náprava chyb | Doba nápravy chyb / srovnávacích testů pro opravné akce | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1675 – Náprava chyb | Doba nápravy chyb / srovnávacích testů pro opravné akce | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Odebrání předchozích verzí softwaru / firmwaru
ID: NIST SP 800-53 Rev. 4 SI-2 (6) Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
Ochrana škodlivého kódu
ID: NIST SP 800-53 Rev. 4 SI-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Managed Control 1676 – Ochrana škodlivého kódu | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1677 – Ochrana škodlivého kódu | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1678 – Ochrana škodlivého kódu | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1679 – Ochrana škodlivého kódu | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 1.1.1 |
Centrální správa
ID: NIST SP 800-53 Rev. 4 SI-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Managed Control 1680 – Ochrana škodlivého kódu | Centrální správa | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 1.1.1 |
Automatické aktualizace
ID: NIST SP 800-53 Rev. 4 SI-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1681 – Ochrana škodlivého kódu | Automatické aktualizace | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Detekce na základě nepřiřazené architektury
ID: NIST SP 800-53 Rev. 4 SI-3 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1682 – Ochrana škodlivého kódu | Detekce na základě nepřiřazené architektury | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Monitorování informačního systému
ID: NIST SP 800-53 Rev. 4 SI-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Microsoft Managed Control 1683 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1684 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1685 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1686 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1687 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1688 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1689 – Monitorování informačního systému | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Systém detekce neoprávněných vniknutí
ID: NIST SP 800-53 Rev. 4 SI-4 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 – Monitorování informačního systému | Systém detekce neoprávněných vniknutí | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizované nástroje pro analýzu v reálném čase
ID: NIST SP 800-53 Rev. 4 SI-4 (2) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 – Monitorování informačního systému | Automatizované nástroje pro analýzu v reálném čase | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Příchozí a odchozí komunikační provoz
ID: NIST SP 800-53 Rev. 4 SI-4 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 – Monitorování informačního systému | Příchozí a odchozí komunikační provoz | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Upozornění generovaná systémem
ID: NIST SP 800-53 Rev. 4 SI-4 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 – Monitorování informačního systému | Upozornění generovaná systémem | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Analýza anomálií komunikačního provozu
ID: NIST SP 800-53 Rev. 4 SI-4 (11) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 – Monitorování informačního systému | Analýza anomálií komunikačního provozu | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizovaná upozornění
ID: NIST SP 800-53 Rev. 4 SI-4 (12) Vlastnictví: Zákazník
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Detekce bezdrátového vniknutí
ID: NIST SP 800-53 Rev. 4 SI-4 (14) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 – Monitorování informačního systému | Detekce bezdrátového vniknutí | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Korelace informací o monitorování
ID: NIST SP 800-53 Rev. 4 SI-4 (16) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 – Monitorování informačního systému | Korelace informací o monitorování | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Analýza provozu / překryvné exfiltrace
ID: NIST SP 800-53 Rev. 4 SI-4 (18) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 - Information System Monitoring | Analýza provozu / překryvné exfiltrace | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Jednotlivci, kteří představují větší riziko
ID: NIST SP 800-53 Rev. 4 SI-4 (19) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 - Information System Monitoring | Jednotlivci, kteří představují větší riziko | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Privilegovaný uživatel
ID: NIST SP 800-53 Rev. 4 SI-4 (20) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 – Monitorování informačního systému | Privilegovaní uživatelé | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Neoprávněné síťové služby
ID: NIST SP 800-53 Rev. 4 SI-4 (22) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 - Information System Monitoring | Neoprávněné síťové služby | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Zařízení založená na hostitelích
ID: NIST SP 800-53 Rev. 4 SI-4 (23) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 – Monitorování informačního systému | Zařízení založená na hostitelích | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Indikátory ohrožení zabezpečení
ID: NIST SP 800-53 Rev. 4 SI-4 (24) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 – Monitorování informačního systému | Indikátory ohrožení zabezpečení | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Výstrahy zabezpečení, informační zpravodaje a direktivy
ID: NIST SP 800-53 Rev. 4 SI-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 – Výstrahy zabezpečení a informační zpravodaje | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1704 – Výstrahy zabezpečení a informační zpravodaje | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1705 – Výstrahy zabezpečení a informační zpravodaje | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1706 – Výstrahy zabezpečení a informační zpravodaje | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizované výstrahy a informační zpravodaje
ID: NIST SP 800-53 Rev. 4 SI-5 (1) Vlastnictví: sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 - Výstrahy zabezpečení a informační zpravodaje | Automatizované výstrahy a informační zpravodaje | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Ověření funkce zabezpečení
ID: NIST SP 800-53 Rev. 4 SI-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 – Ověření funkcí zabezpečení | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1709 – Ověření funkcí zabezpečení | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1710 – Ověření funkcí zabezpečení | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1711 – Ověření funkcí zabezpečení | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Integrita softwaru, firmwaru a informací
ID: NIST SP 800-53 Rev. 4 SI-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 – Integrita softwaru a informací | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Kontroly integrity
ID: NIST SP 800-53 Rev. 4 SI-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 – Integrita softwaru a informací | Kontroly integrity | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizovaná oznámení porušení integrity
ID: NIST SP 800-53 Rev. 4 SI-7 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 – Integrita softwaru a informací | Automatizovaná oznámení porušení integrity | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatizovaná reakce na porušení integrity
ID: NIST SP 800-53 Rev. 4 SI-7 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 - Integrita softwaru a informací | Automatizovaná reakce na porušení integrity | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Integrace detekce a odezvy
ID: NIST SP 800-53 Rev. 4 SI-7 (7) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 – Integrita softwaru a informací | Integrace detekce a odezvy | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Binární nebo strojový spustitelný kód
ID: NIST SP 800-53 Rev. 4 SI-7 (14) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1717 – Integrita softwaru a informací | Binární nebo strojový spustitelný kód | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1718 - Integrita softwaru a informací | Binární nebo strojový spustitelný kód | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Ochrana před nevyžádanou poštou
ID: NIST SP 800-53 Rev. 4 SI-8 Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 – Ochrana před spamem | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1720 – Ochrana před nevyžádanou poštou | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Centrální správa
ID: NIST SP 800-53 Rev. 4 SI-8 (1) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1721 – Ochrana před spamem | Centrální správa | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Automatické aktualizace
ID: NIST SP 800-53 Rev. 4 SI-8 (2) Vlastnictví: Microsoft
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 – Ochrana před spamem | Automatické aktualizace | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Ověření vstupu informací
ID: NIST SP 800-53 Rev. 4 SI-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 – Ověřování vstupu informací | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Zpracování chyb
ID: NIST SP 800-53 Rev. 4 SI-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 – Zpracování chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Microsoft Managed Control 1725 – Zpracování chyb | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Zpracování a uchovávání informací
ID: NIST SP 800-53 Rev. 4 SI-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 – Zpracování a uchovávání výstupů informací | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
Ochrana paměti
ID: NIST SP 800-53 Rev. 4 SI-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Managed Control 1727 – Ochrana paměti | Microsoft implementuje tento systém a řízení integrity informací. | audit | 1.0.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 1.1.1 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.