Definizioni di criteri predefiniti di Criteri di Azure
Questa pagina è un indice delle definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni criterio predefinito include un collegamento all'origine della definizione di criterio nel portale di Azure. Usare il collegamento nella colonna Origine per visualizzare l'origine nel repository GitHub di Criteri di Azure. Le iniziative predefinite sono raggruppate in base alla proprietà categoria nei metadati. Per passare a una categoria specifica, usare Ctrl-F per la funzionalità di ricerca del browser.
API per FHIR
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'account API di Azure per FHIR deve usare una chiave gestita dal cliente per la crittografia dei dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in API di Azure per FHIR quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | audit, Audit, disabled, Disabled | 1.1.0 |
| L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| CORS non deve consentire a tutti i domini di accedere all'API per FHIR | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'API per FHIR. Per proteggere l'API per FHIR, rimuovere l'accesso per tutti i domini e definire in modo esplicito i domini a cui è consentita la connessione. | audit, Audit, disabled, Disabled | 1.1.0 |
Gestione API
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le API Management API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| API Management le chiamate ai back-end dell'API devono essere autenticate | Le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Le chiamate di API Management ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato | Per migliorare la sicurezza dell'API, Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Audit, Disabled, Deny | 1.0.2 |
| API Management endpoint API Management diretto non deve essere abilitato | L'API REST di gestione diretta in Gestione API di Azure ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio. | Audit, Disabled, Deny | 1.0.2 |
| API Management versione API minima deve essere impostata su 2019-12-01 o versione successiva | Per evitare che i segreti del servizio vengano condivisi con utenti di sola lettura, la versione API minima deve essere impostata su 2019-12-01 o versione successiva. | Audit, Deny, Disabled | 1.0.1 |
| I valori denominati del segreto di API Management devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati del segreto da Azure Key Vault. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti. | Audit, Disabled, Deny | 1.0.2 |
| Il servizio Gestione API deve usare uno SKU che supporta le reti virtuali | Con gli SKU supportati di Gestione API, la distribuzione del servizio in una rete virtuale abilita funzionalità avanzate di sicurezza e di rete di Gestione API che offrono un maggiore controllo sulla configurazione della sicurezza della rete. Per altre informazioni, vedere https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione della rete virtuale di Azure offre protezione avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet di cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists, Disabled | 1.0.1 |
| Gestione API deve avere l'autenticazione con nome utente e password disabilitata | Per proteggere meglio il portale per sviluppatori, l'autenticazione del nome utente e della password in Gestione API deve essere disabilitata. Configurare l'autenticazione utente tramite i provider di identità di Azure AD o Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Audit, Disabled | 1.0.1 |
| Le sottoscrizioni di API Management non devono essere con ambito per tutte le API | Le sottoscrizioni di Gestione API devono essere incluse nell'ambito di un prodotto o di una singola API anziché di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Audit, Disabled, Deny | 1.1.0 |
| La versione della piattaforma Azure API Management deve essere stv2 | La versione della piattaforma di calcolo stv1 di Gestione API di Azure verrà ritirata il 31 agosto 2024 ed è necessario eseguire la migrazione di queste istanze alla piattaforma di calcolo stv2 per un supporto continuo. Per altre informazioni: https://video2.skills-academy.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| Configurare i servizi gestione API per disabilitare l'accesso agli endpoint di configurazione del servizio pubblico di Gestione API | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | DeployIfNotExists, Disabled | 1.1.0 |
| Modificare Gestione API per disabilitare l'autenticazione con nome utente e password | Per proteggere meglio gli account utente del portale per sviluppatori e le relative credenziali, configurare l'autenticazione utente tramite Azure AD o i provider di identità di Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Modifica | 1.1.0 |
Configurazione app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurazione app deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Configurazione app deve usare una chiave gestita dal cliente | Le chiavi gestite dal cliente offrono protezione dati avanzata consentendo di gestire le chiavi di crittografia. Tale funzionalità è spesso necessaria per soddisfare i requisiti di conformità. | Audit, Deny, Disabled | 1.1.0 |
| Configurazione app deve usare uno SKU che supporta il collegamento privato | Quando si usa uno SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Gli archivi di Configurazione dell'app devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli archivi di Configurazione app richiedano le identità di Microsoft Entra esclusivamente per l'autenticazione. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Deny, Disabled | 1.0.1 |
| Gli archivi di Configurazione app devono avere i metodi di autenticazione locali disabilitati | Disabilitare i metodi di autenticazione locale in modo che gli archivi di Configurazione app richiedano identità Microsoft Entra esclusivamente per l'autenticazione. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2161954. | Modifica, disattivato | 1.0.1 |
| Configurare Configurazione app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Configurazione app in modo che non sia accessibile tramite Internet pubblico. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Modifica, disattivato | 1.0.0 |
| Configurare zone private DNS per gli endpoint privati connessi a Configurazione app | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere le istanze di configurazione dell'app. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare endpoint privati per Configurazione app | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di configurazione dell'app, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Piattaforma dell'app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]:Controllare le istanze di Azure Spring Cloud in cui non è abilitata la traccia distribuita | Gli strumenti di traccia distribuita in Azure Spring Cloud consentono adi eseguire il debug e il monitoraggio delle complesse interconnessioni tra i microservizi in un'applicazione. Gli strumenti di traccia distribuita devono essere abilitati e in uno stato integro. | Audit, Disabled | 1.0.0-preview |
| Azure Spring Cloud deve usare l'aggiunta alla rete | Le istanze di Azure Spring Cloud devono usare l'aggiunta alla rete virtuale per gli scopi seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
Servizio app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli slot app del servizio app devono essere inseriti in una rete virtuale | L'inserimento di app del servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Gli slot delle app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso la rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono abilitare il traffico in uscita non RFC 1918 alla rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nella rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app del servizio app. | Audit, Deny, Disabled | 1.0.0 |
| Per gli slot dell'app del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Negli slot delle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Negli slot delle app del servizio app i metodi di autenticazione locali devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Gli slot dell'app del Servizio app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.1 |
| Per gli slot dell'app del Servizio app devono essere abilitati i log delle risorse | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del servizio app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| Gli slot dell'app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di "versione HTTP" | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot di app del servizio app che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app di service app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot di app del servizio app che usano PHP devono usare una 'versione PHP' specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del servizio app che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario inserire le app del servizio app in una rete virtuale | L'inserimento di app del servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| Le app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| Le app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso la rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Le app del Servizio app devono abilitare il traffico non RFC 1918 in uscita alla rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nella rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app del servizio app. | Audit, Deny, Disabled | 1.0.0 |
| Nelle app del servizio app deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare coloro che dispongono dei token prima che raggiungano l'app Web. | AuditIfNotExists, Disabled | 2.0.1 |
| Per le app del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Nelle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Nelle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Per le app del servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| I log delle risorse devono essere abilitati per le app del servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Il servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app del servizio app devono usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, il collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| Le app del servizio app devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Le app del servizio app devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le app del servizio app devono usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Le app del servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app del servizio app che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app di service app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| Le app del servizio app che usano PHP devono usare una “versione PHP” specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.2.0 |
| Le app del servizio app che usano Python devono usare la “versione di Python” più recente | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
| Le app dell'ambiente del servizio app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un ambiente del servizio app non siano accessibili tramite Internet pubblico, è necessario distribuire l'ambiente del servizio app con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, l'ambiente del servizio app deve essere distribuito con un servizio di bilanciamento del carico interno. | Audit, Deny, Disabled | 3.0.0 |
| L'ambiente del servizio app deve essere configurato con i gruppi di crittografia TLS più sicuri | Le due suite di crittografia minime e più avanzate richieste per il corretto funzionamento dell'ambiente del servizio app sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| È necessario effettuare il provisioning dell'ambiente del servizio app con le versioni più recenti | Consentire solo il provisioning dell'ambiente del servizio app versione 2 o 3. Le versioni precedenti dell'ambiente del servizio app richiedono la gestione manuale delle risorse di Azure e presentano limitazioni di scalabilità maggiori. | Audit, Deny, Disabled | 1.0.0 |
| Nell'ambiente del servizio app la crittografia interna deve essere abilitata | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Nell'ambiente del servizio app le opzioni TLS 1.0 e 1.1 devono essere disabilitate | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un ambiente del servizio app. | Audit, Deny, Disabled | 2.0.1 |
| Configurare gli slot delle app del servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare gli slot delle app del servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare gli slot dell'app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare gli slot dell app del servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare gli slot dell'app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app del Servizio app per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le app del servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare le app del servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare le app del servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare le app del servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app del servizio app affinché usino zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega una rete virtuale a un servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le app del servizio app per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare gli slot dell'app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso in un'app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app per le funzioni per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare le app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app per le funzioni per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.0.1 |
| Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Gli slot delle app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell’app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 1.0.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| Gli slot delle app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Java devono usare una “versione Java” specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Nelle app per le funzioni deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare coloro che dispongono dei token prima che raggiungano l'app per le funzioni. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app per le funzioni che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| Le app per le funzioni che usano Python devono usare una “versione Python” specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
Attestazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I provider di attestazione di Azure devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza del Servizio di attestazione di Azure, accertarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in aka.ms/azureattestation. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I provider di attestazioni di Azure devono usare endpoint privati | Gli endpoint privati consentono di connettere i provider di attestazione di Azure alle risorse di Azure senza inviare traffico tramite Internet pubblico. Impedendo l'accesso pubblico, gli endpoint privati consentono di proteggersi da accessi anonimi indesiderati. | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: È necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme | Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: La diagnostica di avvio deve essere abilitata nelle macchine virtuali | Le macchine virtuali di Azure devono avere la diagniostica di avvio abilitata. | Audit, Disabled | 1.0.0-preview |
| Configura le macchine virtuali per l'onboarding in Gestione automatica di Azure | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Configurare le macchine virtuali di cui eseguire l'onboarding per Gestione automatica di Azure con il profilo di configurazione personalizzato | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| La patch a caldo deve essere abilitata per le macchine virtuali Windows Server Azure Edition | Ridurre al minimo i riavvii e installare rapidamente gli aggiornamenti con hotpatch. Per altre informazioni: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
Automazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'account di Automazione deve avere un'identità gestita | Usare identità gestite come metodo consigliato per l'autenticazione con le risorse di Azure dai runbook. L'identità gestita per l'autenticazione è più sicura ed elimina il sovraccarico di gestione associato all'uso dell'account RunAs nel codice del runbook. | Audit, Disabled | 1.0.0 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| Gli account di Automazione devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, Disabled | 1.0.0 |
| L'account Automazione di Azure deve avere un metodo di autenticazione locale disabilitato | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che gli account di Automazione di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di Automazione di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia a riposo degli account di automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Configurare l'account Automazione di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account Automazione di Azure richiedano esclusivamente identità Azure Active Directory per l'autenticazione. | Modifica, disattivato | 1.0.0 |
| Configurare gli account di Automazione di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'account di Automazione di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modifica, disattivato | 1.0.0 |
| Configurare gli account di Automazione di Azure con zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. È necessaria una zona DNS privata configurata correttamente per connettersi all'account di Automazione di Azure tramite collegamento privato di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare connessioni endpoint privato negli account di Automazione di Azure | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account di Automazione di Azure senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure sono disponibili all'indirizzo https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Le connessioni endpoint privato negli account di Automazione devono essere abilitate | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account di Automazione senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure sono disponibili all'indirizzo https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I domini gestiti di Azure Active Directory Domain Services devono usare solo la modalità TLS 1.2 | Usare solo la modalità TLS 1.2 per i domini gestiti. Per impostazione predefinita, Azure AD Domain Services abilita l'uso di crittografie come NTLM v1 e TLS v1. Queste crittografie possono essere necessarie per alcune applicazioni legacy, ma sono considerate deboli e possono essere disabilitate se non sono necessarie. Quando è abilitata solo la modalità TLS 1.2, qualsiasi client che effettua una richiesta che non usa TLS 1.2 avrà esito negativo. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Deny, Disabled | 1.1.0 |
Servizi di Azure AI
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio Azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse di Servizi di Azure AI devono usare collegamento privato di Azure | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone di Azure. È possibile trovare altre informazioni sui collegamenti privati alla pagina: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | Abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Negare la creazione o la modifica delle licenze degli aggiornamenti della sicurezza estesa (ESU). | Questo criterio consente di limitare la creazione o la modifica delle licenze ESU per i computer Windows Server 2012 Arc. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0-preview |
| [Anteprima]: abilitare la licenza degli aggiornamenti della sicurezza estesa (ESU) per mantenere protetti i computer Windows 2012 al termine del ciclo di vita del supporto. | Abilitare la licenza degli aggiornamenti della sicurezza estesa (ESU) per mantenere protetti i computer Windows 2012 anche dopo la fine del ciclo di vita del supporto. Informazioni su come preparare la distribuzione di aggiornamenti della sicurezza estesi per Windows Server 2012 tramite AzureArc, visitare https://video2.skills-academy.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| Gli ambiti collegamento privato di Azure Arc devono essere configurati con un endpoint privato | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Gli ambiti collegamento privato di Azure Arc devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le risorse di Azure Arc non possano connettersi tramite La rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle risorse di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati per Azure Arc devono essere configurati con un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| I server abilitati per Azure Arc devono essere configurati con un ambito collegamento privato Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurare gli ambiti collegamento privato di Azure Arc per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'ambito del collegamento privato di Azure Arc in modo che le risorse di Azure Arc associate non possano connettersi ai servizi di Azure Arc tramite la rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
| Configurare l'ambito collegamento privato di Azure Arc per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli ambiti di collegamento privato di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare gli ambiti collegamento privato di Azure Arc con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare i cluster Kubernetes abilitati per Azure Arc per usare un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
| Configurare i server abilitati per Azure Arc per l'utilizzo di un ambito collegamento privato di Azure Arc | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di collegamento privato di Azure Arc configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/arc/privatelink. | Modifica, disattivato | 1.0.0 |
Esplora dati di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Tutti gli amministratori del database in Esplora dati di Azure devono essere disabilitati | Disabilitare tutti i ruoli di amministratore del database per limitare la concessione di un ruolo utente con privilegi elevati o amministrativi. | Audit, Deny, Disabled | 1.0.0 |
| Il cluster di Esplora dati di Azure deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al cluster di Esplora dati di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://video2.skills-academy.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Disabled | 1.0.0 |
| La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Esplora dati di Azure deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, il collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Configurare cluster di Esplora dati di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Esplora dati di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Esplora dati di Azure per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che Esplora dati di Azure sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i cluster di Esplora dati di Azure. | Modifica, disattivato | 1.0.0 |
| La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
| La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica in Esplora dati di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che a Esplora dati di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.0.0 |
| La distribuzione all'interno della rete virtuale deve essere abilitata per Esplora dati di Azure | Protegge il perimetro della rete con la distribuzione all'interno di una rete virtuale che consente di imporre regole dei gruppi di sicurezza di rete, connettersi all'ambiente locale e proteggere le origini della connessione dati con endpoint servizio. | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster di Azure Databricks devono disabilitare l'indirizzo IP pubblico | La disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti su Internet pubblico. Per altre informazioni, vedere https://video2.skills-academy.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
| Le aree di lavoro di Azure Databricks devono trovarsi in una rete virtuale | Le reti virtuali di Azure offrono una maggiore sicurezza e isolamento per gli spazi di lavoro di Azure Databricks, oltre a sottoreti, criteri di controllo degli accessi e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
| Gli spazi di lavoro di Azure Databricks devono essere SKU Premium che supportano funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia | Consentire solo lo spazio di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come Collegamento privato, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere https://aka.ms/adbpe. | Audit, Deny, Disabled | 1.0.1 |
| Gli spazi di lavoro Azure Databricks devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://video2.skills-academy.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
| Le aree di lavoro di Azure Databricks devono usare un collegamento privato | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
| Configurare l'area di lavoro di Azure Databricks per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere le aree di lavoro di Azure Databricks. Per altre informazioni, vedere https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le aree di lavoro di Azure Databricks con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli spazi di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare le impostazioni di diagnostica per lo spazio di lavoro Azure Databricks nello spazio di lavoro Log Analytics | Implementa le impostazioni di diagnostica per lo spazio di lavoro Azure Databricks per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creata o aggiornata uno spazio di lavoro Azure Databricks in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse nelle aree di lavoro di Azure Databricks devono essere abilitati | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
Centro hardware Edge Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dispositivi del Centro hardware Edge di Azure devono avere abilitato il supporto per la crittografia doppia | Assicurarsi che i dispositivi ordinati da Azure Edge Hardware Center dispongano del supporto della doppia crittografia abilitato per proteggere i dati inattivi nel dispositivo. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 2.0.0 |
Test di carico di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i test di carico che usano test di carico di Azure devono essere eseguiti solo su endpoint privati dall'interno di una rete virtuale. | Le istanze del motore di test di carico di Azure devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare i motori di test di carico di Azure in una rete virtuale. 2. Abilitare i motori di test di carico di Azure per interagire con i sistemi nei data center locali o nel servizio di Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per i motori di test di carico di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| La risorsa di test di carico di Azure deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi per la risorsa test di carico di Azure. Per impostazione predefinita, la crittografia viene eseguita usando chiavi gestite dal servizio, le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account Azure Purview devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati ai soli account Azure Purview invece che all'intero servizio, consentirà la protezione anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/purview-private-link. | Audit, Disabled | 1.0.0 |
Azure Stack Edge
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia BitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Gestore aggiornamenti di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: impostare i prerequisiti per la pianificazione degli aggiornamenti ricorrenti nelle macchine virtuali di Azure. | Questo criterio imposta i prerequisiti necessari per pianificare gli aggiornamenti ricorrenti in Azure Update Manager configurando l'orchestrazione delle patch su "Pianificazioni gestite dal cliente". Questa modifica imposta automaticamente la modalità patch su 'AutomaticByPlatform' e abilita 'BypassPlatformSafetyChecksOnUserSchedule' su 'True' nelle macchine virtuali di Azure. Il prerequisito non è applicabile per i server abilitati per Arc. Altre informazioni: https://video2.skills-academy.com/en-us/azure/update-manager/dynamic-scope-overview?tabs=avms#prerequisites | DeployIfNotExists, Disabled | 1.1.0-preview |
| Configurare il controllo periodico per gli aggiornamenti di sistema mancanti nei server abilitati per Azure Arc | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo nei server abilitati per Azure Arc. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Configurare il controllo periodico per gli aggiornamenti di sistema mancanti nelle macchine virtuali Azure | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo in macchine virtuali native di Azure. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Pianificare gli aggiornamenti ricorrenti con Gestione aggiornamenti di Azure | È possibile usare Gestione aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, negli ambienti locali e in altri ambienti cloud connessi usando i server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale di Azure in "AutomaticByPlatform". Altro: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.12.0 |
Backup
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: l'estensione backup di Azure deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati nativa del cloud e sicura per i cluster del servizio Azure Kubernetes | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i cluster del servizio Azure Kubernetes | Assicurarsi di proteggere i cluster del servizio Azure Kubernetes abilitando Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i BLOB negli account di archiviazione | Assicurarsi di proteggere gli account di archiviazione abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per Managed Disks | Assicurarsi di proteggere i dischi gestiti abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Backup di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup. È anche possibile applicare la crittografia infra. | Questo criterio segue l'effetto se le impostazioni di crittografia sono abilitate per gli insiemi di credenziali di backup nell'ambito. Inoltre, l'opzione per verificare se Backup Vault dispone anche della crittografia dell'infrastruttura abilitata. Per ulteriori informazioni, vedi https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Si noti che quando si usa l'effetto "Nega", è necessario abilitare le impostazioni di crittografia negli insiemi di credenziali di backup esistenti per consentire altre operazioni di aggiornamento nell'insieme di credenziali. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: gli insiemi di credenziali di Servizi di ripristino di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'insieme di credenziali dei servizi di ripristino non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'insieme di credenziali dei servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: gli insiemi di credenziali dei servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: gli insiemi di credenziali di Servizi di ripristino di Azure devono usare collegamenti privati per il backup | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per disabilitare l'accesso alla rete pubblica | Disattivare l'accesso alla rete pubblica per il vault dei servizi di Recovery in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Modifica, disattivato | 1.0.0-preview |
| [Anteprima]: Configurare il backup per Dischi di Azure (Managed Disks) con un tag specificato in un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per tutti i dischi di Azure (Managed Disks) che contengono un determinato tag a un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il backup per Dischi di Azure (Managed Disks) senza un tag specificato in un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per tutti i dischi di Azure (Managed Disks) che non contengono un tag specificato in un insieme di credenziali di backup centrale. Per altre informazioni: https://aka.ms/AB-DiskBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il backup per i BLOB in account di archiviazione con un tag specificato in un insieme di credenziali di backup esistente nella stessa area geografica | Applicare il backup per i BLOB in tutti gli account di archiviazione che contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare il backup BLOB per tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup nella stessa area geografica | Applicare il backup per i BLOB in tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per usare le zone DNS privati per il backup | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per usare gli endpoint privati per il backup | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Si noti che gli insiemi di credenziali devono soddisfare determinati prerequisiti per essere idonei per la configurazione dell'endpoint privato. Per altre informazioni, vedere: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Disabilitare il ripristino tra sottoscrizioni per gli insiemi di credenziali di Servizi di ripristino di Azure | Disabilitare o Disabilitare permanentemente il ripristino tra sottoscrizioni per l'insieme di credenziali di Servizi di ripristino in modo che le destinazioni di ripristino non possano trovarsi in una sottoscrizione diversa dalla sottoscrizione dell'insieme di credenziali. Per altre informazioni, vedere https://aka.ms/csrenhancements. | Modifica, disattivato | 1.1.0-preview |
| [Anteprima]: Disabilitare il ripristino tra sottoscrizioni per gli insiemi di credenziali di backup | Disabilitare o Disabilitare permanentemente il ripristino tra sottoscrizioni per l'insieme di credenziali di backup in modo che le destinazioni di ripristino non possano trovarsi in una sottoscrizione diversa dalla sottoscrizione dell'insieme di credenziali. Per altre informazioni, vedere https://aka.ms/csrstatechange. | Modifica, disattivato | 1.1.0-preview |
| [Anteprima]: non consentire la creazione di insiemi di credenziali di Servizi di ripristino di ridondanza di archiviazione scelta. | Gli insiemi di credenziali di Servizi di ripristino possono essere creati con una delle tre opzioni di ridondanza di archiviazione attualmente disponibili, ovvero Archiviazione con ridondanza locale, Archiviazione con ridondanza della zona e Archiviazione con ridondanza geografica. Se i criteri nell'organizzazione richiedono di bloccare la creazione di insiemi di credenziali appartenenti a un determinato tipo di ridondanza, è possibile ottenere lo stesso risultato usando questo criterio di Azure. | Deny, Disabled | 1.0.0-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di backup nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per ulteriori informazioni, vedi https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per ulteriori informazioni, vedi https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Anteprima]: Installare l'estensione Backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) con un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes contenenti un tag specificato. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: installare l'estensione backup di Azure nei cluster del servizio Azure Kubernetes (cluster gestito) senza un tag specificato. | L'installazione dell'estensione backup di Azure è un prerequisito per la protezione dei cluster del servizio Azure Kubernetes. Applicare l'installazione dell'estensione di backup in tutti i cluster del servizio Azure Kubernetes senza un valore di tag specifico. Questa operazione consente di gestire il backup dei cluster del servizio Azure Kubernetes su larga scala. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: l'autorizzazione multiutente deve essere abilitata per gli insiemi di credenziali di backup. | Questo criterio controlla se l'autorizzazione multiutente è abilitata per gli insiemi di credenziali di backup. MUA consente di proteggere gli insiemi di credenziali di backup aggiungendo un ulteriore livello di protezione alle operazioni critiche. Per altre informazioni, visita il sito Web all'indirizzo https://aka.ms/mua-for-bv. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'autorizzazione multiutente deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'autorizzazione multiutente è abilitata per gli insiemi di credenziali di Servizi di ripristino. MUA consente di proteggere gli insiemi di credenziali di Servizi di ripristino aggiungendo un ulteriore livello di protezione alle operazioni critiche. Per altre informazioni, visita il sito Web all'indirizzo https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. L'eliminazione temporanea consente di recuperare i dati anche dopo l'eliminazione. Per ulteriori informazioni, vedi https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di backup nell'ambito. L'eliminazione temporanea consente di recuperare i dati dopo l'eliminazione. Per altre informazioni: https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurare il backup nelle macchine virtuali con un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurare il backup nelle macchine virtuali con un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurare il backup nelle macchine virtuali senza un tag specifico in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Configurare il backup nelle macchine virtuali senza un tag specifico in un insieme di credenziali di Servizi di ripristino esistente nella stessa località | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.3.0 |
| Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino nell'area di lavoro Log Analytics per categorie specifiche delle risorse. | Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino per lo streaming nell'area di lavoro Log Analytics per categorie specifiche delle risorse. Se una delle categorie specifiche delle risorse non è abilitata, verrà creata una nuova impostazione di diagnostica. | deployIfNotExists | 1.0.2 |
Batch
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| I pool di Azure Batch devono avere la crittografia del disco abilitata | L'abilitazione della crittografia dischi di Azure Batch garantisce che i dati siano sempre crittografati inattivi nel nodo di calcolo di Azure Batch. Altre informazioni sulla crittografia dei dischi in Batch sono disponibili all'indirizzo https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Gli account Batch devono disabilitare i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che gli account Batch richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Configurare gli account Batch per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che il proprio batch richieda le identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/batch/auth. | Modifica, disattivato | 1.0.0 |
| Configurare gli account del Batch per disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Altre informazioni sulla disabilitazione dell'accesso alla rete pubblica sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | Modifica, disattivato | 1.0.0 |
| Configurare gli account Batch con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli account Batch, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare le zone DNS privato per gli endpoint privati che si connettono agli account Batch | I record DNS privati consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Batch, vedere https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| È consigliabile configurare le regole di avviso per le metriche negli account Batch | Controlla la configurazione delle regole di avviso delle metriche per l'account Batch per abilitare la metrica richiesta | AuditIfNotExists, Disabled | 1.0.0 |
| Le connessioni endpoint privato negli account Batch devono essere abilitate | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Batch sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per gli account Batch | La disabilitazione dell'accesso alla rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Altre informazioni sulla disabilitazione dell'accesso alla rete pubblica sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Servizio Bot
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'endpoint del servizio Bot deve essere un URI HTTPS valido | I dati possono essere alterati durante la trasmissione. Esistono protocolli contenenti la crittografia per risolvere i problemi di uso improprio e manomissioni. Per assicurarsi che i bot comunichino solo su canali crittografati, impostare l'endpoint su un URI HTTPS valido. Ciò garantisce che venga usato il protocollo HTTPS per crittografare i dati in transito ed è spesso un requisito per la conformità agli standard di settore o alle normative. Visitare: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Il servizio Bot deve essere crittografato con una chiave gestita dal cliente | Il servizio Azure Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia del servizio Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Nel servizio Bot deve essere abilitata la modalità isolata | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione configura i canali del servizio Bot che richiedono che il traffico su Internet pubblico sia disabilitato. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Per il servizio Bot i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che un bot usi esclusivamente AAD per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Bot deve avere l'accesso alla rete pubblica disabilitato | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione configura i canali del servizio Bot che richiedono che il traffico su Internet pubblico sia disabilitato. | Audit, Deny, Disabled | 1.0.0 |
| Le risorse di servizio del bot devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa BotService, i rischi di perdita dei dati vengono ridotti. | Audit, Disabled | 1.0.0 |
| Configurare le risorse del servizio del bot per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse correlate a BotService. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse del servizio del bot con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alla risorsa BotService, è possibile ridurre i rischi di perdita dei dati. | DeployIfNotExists, Disabled | 1.0.0 |
Cache
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| cache di Azure per Redis Enterprise deve usare chiavi gestite dal cliente per crittografare i dati del disco | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei dati su disco. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dalla piattaforma ( PMK), ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/RedisCMK. | Audit, Deny, Disabled | 1.0.0 |
| cache di Azure per Redis Enterprise deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis Enterprise, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| La cache di Azure per Redis deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che Cache Redis di Azure non sia esposta su Internet pubblico. È possibile limitare l'esposizione di Cache Redis di Azure creando invece endpoint privati. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Deny, Disabled | 1.0.0 |
| cache di Azure per Redis non usare le chiavi di accesso per l'autenticazione | L'uso di metodi di autenticazione locali come le chiavi di accesso e l'uso di alternative più sicure, ad esempio Microsoft Entra ID (scelta consigliata) migliora la sicurezza per i cache di Azure per Redis. Per altre informazioni, vedere aka.ms/redis/disableAccessKeyAuthentication | Audit, Deny, Disabled | 1.0.0 |
| La cache di Azure per Redis deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di Cache Redis di Azure, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis Enterprise per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere cache di Azure per Redis Enterprise. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis Enterprise con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle risorse cache di Azure per Redis Enterprise, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Cache Redis di Azure per disabilitare le porte non SSL | Abilitare solo connessioni SSL a Cache Redis di Azure. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modifica, disattivato | 1.0.0 |
| Configurare la cache di Azure per Redis per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa cache di Azure per Redis in modo che non sia accessibile tramite Internet pubblico. Ciò consente di proteggere la cache da rischi di perdita di dati. | Modifica, disattivato | 1.0.0 |
| Configurare la cache di Azure per Redis per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per la risoluzione in Cache Redis di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle risorse di Cache Redis di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Rete CDN
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I profili di Frontdoor di Azure devono usare il livello Premium che supporta le regole WAF gestite e il collegamento privato | Frontdoor di Azure Premium supporta le regole WAF gestite di Azure e il collegamento privato alle origini di Azure supportate. | Audit, Deny, Disabled | 1.0.0 |
| Frontdoor di Azure Standard e Premium devono eseguire almeno la versione TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che i domini personalizzati siano accessibili dai client che usano TLS 1.2 o versione successiva. L'uso di versioni di TLS inferiori a 1.2 non è consigliato perché sono deboli e non supportano algoritmi di crittografia moderni. | Audit, Deny, Disabled | 1.0.0 |
| Proteggere la connettività privata tra Frontdoor di Azure Premium e BLOB del servizio di archiviazione di Azure o Servizio app di Azure | Il collegamento privato garantisce la connettività privata tra Frontdoor di Azure Premium e BLOB del servizio di archiviazione di Azure o Servizio app di Azure tramite la rete backbone di Azure, senza che i BLOB del servizio di archiviazione di Azure o il Servizio app di Azure siano esposti pubblicamente a Internet. | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Configurare i computer Linux abilitati per Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire Associazione per collegare computer abilitati per Linux Arc a una regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer Linux abilitati per Arc per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.3.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire Association per collegare le macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.5.0-anteprima |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux abilitati per Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire Association per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventory con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.4.0-anteprima |
| [Anteprima]: Configurare i computer abilitati per Windows Arc da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire associazione per collegare i computer abilitati per Windows Arc alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer Windows abilitati per Arc per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e Inventario | Distribuire associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows per installare l'agente di Monitoraggio di Azure per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per abilitare ChangeTracking e Inventario. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.1.0-preview |
Servizi cognitivi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le risorse di Servizi di intelligenza artificiale di Azure devono crittografare i dati inattivi con una chiave gestita dal cliente | L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Questa operazione non viene valutata per impostazione predefinita e deve essere applicata solo quando richiesto dai requisiti dei criteri di conformità o restrittivi. Se non è abilitata, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per implementare questa operazione, aggiornare il parametro 'Effect' nei criteri di sicurezza per l'ambito applicabile. | Audit, Deny, Disabled | 2.2.0 |
| Gli account Servizi cognitivi devono usare un'identità gestita | L'assegnazione di un'identità gestita all'account di Servizi cognitivi consente di garantire l'autenticazione sicura. Questa identità viene usata da questo account del servizio cognitivo per comunicare con altri servizi di Azure, ad esempio Azure Key Vault, in modo sicuro senza dover gestire le credenziali. | Audit, Deny, Disabled | 1.0.0 |
| Gli account Servizi cognitivi devono usare spazio di archiviazione di proprietà del cliente | Usare l’archiviazione di proprietà del cliente per controllare i dati inattivi archiviati in Servizi cognitivi. Per altre informazioni sull'archiviazione di proprietà del cliente, visitare https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Configurare gli account di Servizi cognitivi per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account di Servizi cognitivi richiedano le identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/cs/auth. | Modifica, disattivato | 1.0.0 |
| Configurare gli account Servizi cognitivi per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa di Servizi cognitivi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2129800. | Disabilitato, Modifica | 3.0.0 |
| Configurare gli account Servizi cognitivi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli account di Servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configura gli account Servizi cognitivi con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di una perdita di dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Comunicazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La risorsa del servizio di comunicazione deve usare un'identità gestita | L'assegnazione di un'identità gestita alla risorsa del servizio di comunicazione consente di garantire l'autenticazione sicura. Questa identità viene utilizzata da questa risorsa del servizio di comunicazione per comunicare con altri servizi Azure, come Azure Storage, in modo sicuro senza dover gestire alcuna credenziale. | Audit, Deny, Disabled | 1.0.0 |
| La risorsa del servizio di comunicazione deve usare la posizione dei dati elencata | Creare una risorsa del servizio di comunicazione solo da un percorso dati consentito elencato. Questo percorso di dati determina dove verranno archiviati i dati della risorsa del servizio di comunicazione inattivi, assicurandosi che i percorsi di dati elencati consentiti preferiti non possano essere modificati dopo la creazione della risorsa. | Audit, Deny, Disabled | 1.0.0 |
Calcolo
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| SKU di dimensioni di macchine virtuali consentiti | Questo criterio consente di specificare un set di SKU di dimensioni di macchine virtuali che possono essere distribuiti dall'organizzazione. | Nega | 1.0.1 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare le risorse di accesso al disco per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un disco gestito. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di accesso al disco con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di accesso al disco, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestita, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modifica, disattivato | 2.0.0 |
| Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | Questo criterio distribuisce un'estensione IaaSAntimalware Microsoft con una configurazione predefinita quando in una macchina virtuale non è configurata l'estensione antimalware. | deployIfNotExists | 1.1.0 |
| Le risorse di accesso al disco devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Ai dischi gestiti deve essere applicata la doppia crittografia con chiave gestita dalla piattaforma e chiave gestita dal cliente | I clienti sensibili alla sicurezza elevata che temono il rischio associato alla compromissione di un particolare algoritmo, implementazione o chiave di crittografia possono optare per un livello di crittografia aggiuntivo che utilizza un algoritmo/modalità di crittografia diverso a livello di infrastruttura, utilizzando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| I dischi gestiti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| I dischi gestiti devono usare un set di crittografia dischi specifico per la crittografia con chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. | AuditIfNotExists, Disabled | 1.1.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
| Il sistema operativo e i dischi dati devono essere crittografati con una chiave gestita dal cliente | Utilizzare le chiavi gestite dal cliente per gestire la crittografia a riposo del contenuto dei dischi gestiti. Per impostazione predefinita, i dati sono crittografati quando sono inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Proteggere i dati con i requisiti di autenticazione durante l'esportazione o il caricamento in un disco o uno snapshot. | Quando si usa l'URL di esportazione/caricamento, il sistema controlla se l'utente ha un'identità in Azure Active Directory e dispone delle autorizzazioni necessarie per esportare/caricare i dati. Fare riferimento a aka.ms/DisksAzureADAuth. | Modifica, disattivato | 1.0.0 |
| Richiedi l'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali | Questo criterio impone l'abilitazione dell'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali per mantenere sempre protette le macchine virtuali, applicando le patch di sicurezza più recenti ogni mese. | rifiutare | 1.0.0 |
| Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
App contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'autenticazione deve essere abilitata nelle app contenitore | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per il contenitore o autenticare coloro che dispongono dei token prima che raggiungano l'app contenitore | AuditIfNotExists, Disabled | 1.0.1 |
| Gli ambienti dell'app contenitore devono usare l'inserimento di rete | Gli ambienti delle App contenitore devono usare l'inserimento rete virtuale per: 1.Isolare le app contenitore dalla rete Internet pubblica 2. Abilitare l'integrazione di rete con le risorse locali o in altre reti virtuali di Azure 3. Ottenere un controllo più granulare sul traffico di rete verso e dall'ambiente. | Audit, Disabled, Deny | 1.0.2 |
| L'app contenitore deve essere configurata con il montaggio del volume | Imporre l'uso dei montaggi dei volumi per le app contenitore per garantire la disponibilità della capacità di archiviazione persistente. | Audit, Deny, Disabled | 1.0.1 |
| L'ambiente app contenitore deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per migliorare la sicurezza esponendo l'ambiente App contenitore tramite un servizio di bilanciamento del carico interno. In questo modo viene rimossa la necessità di un indirizzo IP pubblico e viene impedito l'accesso a Internet a tutte le app contenitore all'interno dell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| App contenitore deve disabilitare l'accesso alla rete esterna | Disabilitare l'accesso alla rete esterna alle app contenitore applicando l'ingresso solo interno. In questo modo, le comunicazioni in ingresso per le app contenitore sono limitate ai chiamanti all'interno dell'ambiente App contenitore. | Audit, Deny, Disabled | 1.0.1 |
| Le app contenitore devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. La disabilitazione di "allowInsecure" comporterà il reindirizzamento automatico delle richieste da connessioni HTTP a HTTPS per le app contenitore. | Audit, Deny, Disabled | 1.0.1 |
| L'identità gestita deve essere abilitata per le app contenitore | L'imposizione dell'identità gestita garantisce che le app contenitore possano eseguire l'autenticazione in modo sicuro in qualsiasi risorsa che supporta l'autenticazione Azure AD | Audit, Deny, Disabled | 1.0.1 |
Istanza di contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il gruppo di contenitori dell'istanza di Azure Container deve essere distribuito in una rete virtuale | Proteggere la comunicazione tra i contenitori con reti virtuali di Azure. Quando si specifica una rete virtuale, le risorse all'interno della rete virtuale possono comunicare in modo sicuro e privato tra loro. | Audit, Disabled, Deny | 2.0.0 |
| Il gruppo di contenitori dell'istanza di Azure Container deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Disabled, Deny | 1.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di contenitori nell'area di lavoro Log Analytics | Implementa le impostazioni diagnostiche per l'istanza del contenitore per trasmettere i registri delle risorse a un'area di lavoro Log Analytics quando viene creata o aggiornata un'istanza del contenitore priva di queste impostazioni diagnostiche. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Istanze di contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare la diagnostica per il gruppo di contenitori nell'area di lavoro Log Analytics | Aggiunge l'elemento workspaceId e workspaceKey di Log Analytics specificato quando viene creato o aggiornato un gruppo di contenitori mancante. Non modifica i campi dei gruppi di contenitori creati prima dell'applicazione di questo criterio finché non vengono modificati i gruppi di risorse. | Append, Disabled | 1.0.0 |
Registro Container
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare i registri del contenitore per disabilitare l'autenticazione anonima. | Disabilitare il pull anonimo per il Registro di sistema in modo che i dati non siano accessibili dall'utente non autenticato. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modifica, disattivato | 1.0.0 |
| Configurare i registri contenitori per disabilitare l'autenticazione del token del gruppo di destinatari ARM. | Disabilitare i token del gruppo di destinatari arm di Azure Active Directory per l'autenticazione nel registro. Per l'autenticazione verranno usati solo i token del gruppo di destinatari di Registro Azure Container. In questo modo è possibile usare solo i token destinati all'utilizzo nel Registro di sistema per l'autenticazione. La disabilitazione dei token del gruppo di destinatari ARM non influisce sull'autenticazione dei token di accesso con ambito o dell'utente amministratore. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modifica, disattivato | 1.0.0 |
| Configurare i registri container per disabilitare l’account amministratore locale. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modifica, disattivato | 1.0.1 |
| Configurare i registri Container per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa Registro contenitori, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Altre informazioni su https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modifica, disattivato | 1.0.0 |
| Configurare i registri contenitori per disabilitare il token di accesso con ambito repository. | Disabilitare i token di accesso con ambito repository per il registro in modo che i repository non siano accessibili dai token. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modifica, disattivato | 1.0.0 |
| Configurare i registri Container per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere il problema nel Registro Container. Altre informazioni su https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i registri Container con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle risorse del registro contenitori Premium, è possibile ridurre i rischi di perdita dei dati. Altre informazioni su: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link | DeployIfNotExists, Disabled | 1.0.0 |
| I registri contenitori devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| I registri contenitori devono avere disabilitata l'autenticazione anonima. | Disabilitare il pull anonimo per il registro in modo che i dati non siano accessibili dall'utente non autenticato. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Nei registri contenitori deve essere disabilitata l'autenticazione del token del gruppo di destinatari ARM. | Disabilitare i token del gruppo di destinatari ARM di Azure Active Directory per l'autenticazione nel registro. Per l'autenticazione verranno usati solo i token del gruppo di destinatari di Registro Azure Container. In questo modo è possibile usare solo i token destinati all'utilizzo nel Registro di sistema per l'autenticazione. La disabilitazione dei token del gruppo di destinatari ARM non influisce sull'autenticazione dei token di accesso con ambito o dell'utente amministratore. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Le esportazioni devono essere disabilitate per i registri contenitori | La disabilitazione delle esportazioni migliora la sicurezza assicurando che l'accesso ai dati in un registro venga eseguito esclusivamente tramite il piano dati ('docker pull'). I dati non possono essere spostati dal Registro di sistema tramite “acr import” o “acr transfer”. Per disabilitare le esportazioni, l'accesso alla rete pubblica deve essere disabilitato. Per altre informazioni, vedere https://aka.ms/acr/export-policy. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono avere un account amministratore locale disabilitato. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.1 |
| Il token di accesso con ambito repository dei registri contenitori deve essere disabilitato. | Disabilitare i token di accesso con ambito repository per il registro in modo che i repository non siano accessibili dai token. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| Gli SKU dei registri contenitore devono supportare i collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Per ulteriori informazioni sulle regole di rete per il Registro Azure Container, vedere: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I registri contenitori devono impedire la creazione di regole della cache | Disabilitare la creazione di regole della cache per Registro Azure Container per impedire il pull tramite cache. Per altre informazioni, vedere https://aka.ms/acr/cache. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| L'accesso alla rete pubblica deve essere disabilitato per i registri contenitori | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che i registri contenitori non siano esposti su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse del registro contenitori. Altre informazioni su https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.1.0 |
| Gli account Azure Cosmos DB non devono consentire il traffico da tutti i data center di Azure | Non consentire la regola del firewall IP, '0.0.0.0', che consente tutto il traffico proveniente da qualsiasi data center di Azure. Per altre informazioni: https://aka.ms/cosmosdb-firewall | Audit, Deny, Disabled | 1.0.0 |
| Gli account Azure Cosmos DB non devono superare il numero massimo di giorni consentito dall'ultima rigenerazione della chiave dell'account. | Rigenerare le chiavi nel tempo specificato per mantenere i dati più protetti. | Audit, Disabled | 1.0.0 |
| Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Località consentite per Azure Cosmos DB | Questo criterio consente di limitare le località che possono essere specificate dall'organizzazione durante la distribuzione delle risorse Azure Cosmos DB. Usare per imporre requisiti di conformità geografica. | [parameters('policyEffect')] | 1.1.0 |
| L'accesso in scrittura ai metadati basati su chiave di Azure Cosmos DB deve essere disabilitato | Questo criterio consente di garantire che per tutti gli account Azure Cosmos DB sia disabilitato l'accesso in scrittura ai metadati basati su chiave. | append | 1.0.0 |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| La velocità effettiva di Azure Cosmos DB deve essere limitata | Questo criterio consente di limitare la velocità effettiva massima che l'organizzazione può specificare durante la creazione di contenitori e database di Azure Cosmos DB tramite il provider di risorse. Blocca la creazione di risorse di scalabilità automatica. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Configurare gli account di database Cosmos DB per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account del database Cosmos DB richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modifica, disattivato | 1.1.0 |
| Configurare gli account Cosmos DB per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa CosmosDB, in modo che non sia accessibile su Internet. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modifica, disattivato | 1.0.1 |
| Configurare gli account Cosmos DB per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account CosmosDB. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare gli account Cosmos DB con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account CosmosDB, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Per gli account di database Cosmos DB i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che gli account del database Cosmos DB richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Distribuisci Advanced Threat Protection per gli account Cosmos DB | Questo criterio abilita Advanced Threat Protection negli account Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
Provider personalizzato
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Distribuisci le associazioni per un provider personalizzato | Distribuisce una risorsa di associazione che associa i tipi di risorse selezionate al provider personalizzato specificato. Questa distribuzione dei criteri non supporta i tipi di risorse annidati. | deployIfNotExists | 1.0.0 |
Data Box
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. | Audit, Deny, Disabled | 1.0.0 |
Data Factory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le pipeline di Azure Data Factory devono comunicare solo con domini consentiti | Per evitare l'esfiltrazione di dati e token, impostare i domini con cui Azure Data Factory deve essere autorizzato a comunicare. Nota: durante l'anteprima pubblica, la conformità per questo criterio non viene segnalata e per i criteri da applicare a Data Factory, abilitare la funzionalità delle regole in uscita in ADF Studio. Per altre informazioni, vedere https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Le data factory di Azure devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia a riposo di Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Per il runtime di integrazione di Azure Data Factory è necessario impostare un limite per il numero di core | Per gestire le risorse e i costi, limitare il numero di core per un runtime di integrazione. | Audit, Deny, Disabled | 1.0.0 |
| Il tipo di risorsa del servizio collegato ad Azure Data Factory deve essere incluso nell'elenco elementi consentiti | Definire l'elenco consenti dei tipi di servizio collegati di Azure Data Factory. La limitazione dei tipi di risorse consentiti consente di controllare il limite dello spostamento dei dati. Ad esempio, limitare un ambito per consentire l'archiviazione BLOB solo con Data Lake Storage Gen1 e Gen2 per l'analisi o un ambito per consentire solo l'accesso a SQL e Kusto per le query in tempo reale. | Audit, Deny, Disabled | 1.1.0 |
| I servizi collegati di Azure Data Factory devono usare Key Vault per l'archiviazione dei segreti | Per garantire che i segreti, ad esempio le stringhe di connessione, siano gestiti in modo sicuro, richiedere agli utenti di fornire i segreti usando Azure Key Vault anziché specificarli inline nei servizi collegati. | Audit, Deny, Disabled | 1.0.0 |
| I servizi collegati di Azure Data Factory devono usare l'autenticazione tramite identità gestita assegnata dal sistema quando supportata | L'utilizzo dell'identità gestita assegnata dal sistema durante la comunicazione con gli archivi dati tramite servizi collegati evita l'utilizzo di credenziali meno sicure come password o stringhe di connessione. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory deve usare un repository GIT per il controllo del codice sorgente | Configurare solo la data factory di sviluppo con l'integrazione di Git. Le modifiche apportate ai test e alla produzione devono essere distribuite tramite CI/CD e non devono avere l'integrazione Git. NON applicare questo criterio nelle data factory qa/test/produzione. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare le data factory per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Data Factory in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modifica, disattivato | 1.0.0 |
| Configurare zone private DNS per gli endpoint privati che si connettono ad Azure Data Factory | I record DNS privati consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata ad Azure Data Factory senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Azure Data Factory, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli endpoint privati per le data factory | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati ad Azure Data Factory, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| L'accesso alla rete pubblica in Azure Data Factory deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ad Azure Data Factory sia possibile accedere solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| I runtime di integrazione di SQL Server Integration Services in Azure Data Factory devono essere collegati a una rete virtuale | La distribuzione della Rete virtuale di Azure offre sicurezza e isolamento migliorati per i runtime di integrazione di SQL Server Integration Services in Azure Data Factory e per le subnet, i criteri di controllo di accesso e altre funzionalità per l'ulteriore limitazione degli accessi. | Audit, Deny, Disabled | 2.3.0 |
Data Lake
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Richiedi crittografia per gli account Data Lake Store | Questo criterio garantisce che la crittografia sia abilitata in tutti gli account Data Lake Store | rifiutare | 1.0.0 |
| I log delle risorse devono essere abilitati in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse devono essere abilitati in Data Lake Analytics | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Virtualizzazione desktop
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I pool di host di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza e mantiene i dati al sicuro assicurando che l'accesso al servizio Desktop virtuale Azure non sia esposto alla rete Internet pubblica. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| I pool di host di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica solo sugli host di sessione | La disabilitazione dell'accesso alla rete pubblica per gli host della sessione del pool di host di Desktop virtuale Azure, ma consentendo l'accesso pubblico per gli utenti finali migliora la sicurezza limitando l'esposizione a Internet pubblico. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Desktop virtuale Azure deve usare un collegamento privato | L'uso del collegamento privato di Azure con le risorse di Desktop virtuale Azure può migliorare la sicurezza e mantenere i dati al sicuro. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/avdprivatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica per la risorsa dell'area di lavoro di Desktop virtuale Azure impedisce che il feed sia accessibile tramite Internet pubblico. Consentire solo l'accesso alla rete privata migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurare le risorse del pool di host di Desktop virtuale Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per gli host di sessione e gli utenti finali nella risorsa del pool di host di Desktop virtuale Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modifica, disattivato | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica solo per gli host sessione | Disabilitare l'accesso alla rete pubblica per gli host sessione del pool di host di Desktop virtuale Azure, ma consentire l'accesso pubblico per gli utenti finali. In questo modo gli utenti possono comunque accedere al servizio AVD assicurandosi che l'host sessione sia accessibile solo tramite route private. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modifica, disattivato | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di Desktop virtuale Azure, è possibile migliorare la sicurezza e proteggere i dati. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse dell'area di lavoro di Desktop virtuale Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa dell'area di lavoro di Desktop virtuale Azure in modo che il feed non sia accessibile tramite Internet pubblico. Ciò migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modifica, disattivato | 1.0.0 |
| Configurare le aree di lavoro di Desktop virtuale Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di Desktop virtuale Azure, è possibile migliorare la sicurezza e proteggere i dati. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I pool di Microsoft Dev Box non devono usare le reti ospitate da Microsoft. | Non consente l'uso di reti ospitate Microsoft durante la creazione di risorse del pool. | Audit, Deny, Disabled | 1.0.0-preview |
DevOpsInfrastructure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: i pool di DevOps gestiti da Microsoft devono essere forniti con una risorsa subnet valida per configurare con la propria rete virtuale. | Non consente la creazione di risorse del pool se non viene specificata una risorsa subnet valida. | Audit, Deny, Disabled | 1.0.0-preview |
ElasticSan
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| ElasticSan deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per ElasticSan in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Il gruppo di volumi ElasticSan deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di VolumeGroup. Per impostazione predefinita, i dati dei clienti sono crittografati con chiavi gestite dalla piattaforma, ma le CMK sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. | Audit, Disabled | 1.0.0 |
| Il gruppo di volumi ElasticSan deve usare endpoint privati | Gli endpoint privati consentono all'amministratore di collegare le reti virtuali ai servizi Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati al gruppo di volumi, l'amministratore può ridurre i rischi di perdita dei dati | Audit, Disabled | 1.0.0 |
Griglia di eventi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I domini di Griglia di eventi di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che i domini della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Il broker MQTT dello spazio dei nomi di Griglia di eventi di Azure deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati allo spazio dei nomi della Griglia di eventi invece che all'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Gestore degli argomenti di Griglia di eventi di Azure deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati allo spazio dei nomi della Griglia di eventi invece che all'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Gli spazi dei nomi della Griglia di eventi di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi partner di Griglia di eventi di Azure devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che gli spazi dei nomi dei partner della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Gli argomenti di Griglia di eventi di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Gli argomenti di Griglia di eventi di Azure devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che gli argomenti della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Configurare i domini di Griglia di eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i domini della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modifica, disattivato | 1.0.0 |
| Configurare lo spazio dei nomi MQTT di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi partner di Griglia di eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi nome dei partner della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modifica, disattivato | 1.0.0 |
| Configurare gli argomenti di Griglia di eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli argomenti della Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modifica, disattivato | 1.0.0 |
| Distribuire - Configurare domini di Griglia di eventi di Azure per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuire - Configurare domini di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare argomenti di Griglia di eventi di Azure per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuire - Configurare argomenti di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificare - Configurare domini di Griglia di eventi di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa griglia di eventi di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Ciò consentirà di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modifica, disattivato | 1.0.0 |
| Modificare - Configurare argomenti di Griglia di eventi di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa griglia di eventi di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Ciò consentirà di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modifica, disattivato | 1.0.0 |
Hub eventi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile rimuovere tutte le regole di autorizzazione ad eccezione di RootManageSharedAccessKey dallo spazio dei nomi di Hub eventi | I client di Hub eventi non devono usare un criterio di accesso a livello di spazio dei nomi che assicura l'accesso a tutte le code e gli argomenti in uno spazio dei nomi. Per essere conformi al modello di sicurezza basato su privilegi minimi, è consigliabile creare criteri di accesso a livello di entità per code e argomenti in modo da fornire l'accesso solo all'entità specifica | Audit, Deny, Disabled | 1.0.1 |
| È consigliabile definire le regole di autorizzazione nell'istanza di Hub eventi | Controlla l'esistenza di regole di autorizzazione nelle entità di Hub eventi per concedere l'accesso con privilegi minimi | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli spazi dei nomi di Hub eventi di Azure i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi dell'hub eventi di Azure richiedano esclusivamente le identità ID Di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-eh. | Audit, Deny, Disabled | 1.0.1 |
| Configurare gli spazi dei nomi di Hub eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi dell'hub eventi di Azure richiedano esclusivamente le identità id di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-eh. | Modifica, disattivato | 1.0.1 |
| Configurare gli spazi dei nomi dell'hub eventi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi dell'hub eventi con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati agli spazi dei nomi di Hub eventi, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono disabilitare l'accesso alla rete pubblica | L'hub eventi di Azure deve avere l'accesso alla rete pubblica disabilitato. La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi dovrebbero avere la crittografia doppia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Audit, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nell'hub eventi | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Fluid Relay
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Fluid Relay deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per gestire la crittografia a riposo del server Fluid Relay. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Disabled | 1.0.0 |
Generali
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Località consentite | Questi criteri consentono di limitare le posizioni che l'organizzazione può specificare durante la distribuzione delle risorse. Usare per imporre requisiti di conformità geografica. Esclude i gruppi di risorse, Microsoft.AzureActiveDirectory/b2cDirectories e le risorse che usano l'area "global". | rifiutare | 1.0.0 |
| Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | rifiutare | 1.0.0 |
| Tipi di risorse consentiti | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può distribuire. Solo i tipi di risorse che supportano i 'tag' e la 'località' saranno interessati dal criterio. Per includere tutte le risorse, duplicare il criterio e modificare la 'modalità' impostandola su 'Tutte'. | rifiutare | 1.0.0 |
| Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | controllo | 2.0.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Non consentire l'eliminazione dei tipi di risorse | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può proteggere dall'eliminazione accidentale bloccando le chiamate di eliminazione usando l'effetto di negazione dell'azione. | DenyAction, Disabled | 1.0.1 |
| Non consentire risorse M365 | Bloccare la creazione di risorse M365. | Audit, Deny, Disabled | 1.0.0 |
| Non consentire risorse MCPP | Bloccare la creazione di risorse MCPP. | Audit, Deny, Disabled | 1.0.0 |
| Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse di Azure fatturate in base all'utilizzo. | Audit, Deny, Disabled | 1.0.0 |
| Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Audit, Deny, Disabled | 2.0.0 |
Configurazione guest
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare l'assegnazione della configurazione guest alle macchine virtuali | Questo criterio aggiunge un'identità gestita assegnata dall'utente alle macchine virtuali ospitate in Azure supportate dalla configurazione guest. Un'identità gestita assegnata dall’utente è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Controllare il controllo del comportamento SSH nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il server SSH non è configurato in modo sicuro nei computer Linux. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il controllo del comportamento SSH nei computer Linux | Questo criterio crea un'assegnazione di configurazione guest per impostare il controllo del comportamento SSH nei computer Linux. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare Windows Server per disabilitare gli utenti locali.. | Creare un'assegnazione configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. In questo modo si garantisce che i server Windows possano accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: gli aggiornamenti della sicurezza estesi devono essere installati nei computer Windows Server 2012 Arc. | I computer Windows Server 2012 Arc devono aver installato tutti gli aggiornamenti della sicurezza estesa rilasciati da Microsoft. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Docker | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di Azure per gli host Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: Le macchine Linux devono soddisfare i requisiti di conformità STIG per i servizi di calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: Nexus Compute Machines deve soddisfare la baseline di sicurezza | Usa l'agente di configurazione guest di Criteri di Azure per il controllo. Questo criterio garantisce che i computer rispettino la baseline di sicurezza di calcolo Nexus, includendo varie raccomandazioni progettate per rafforzare i computer rispetto a una serie di vulnerabilità e configurazioni non sicure (solo Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Le macchine Windows devono soddisfare i requisiti di conformità STIG per i servizi di calcolo | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni riportate nei requisiti di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla la connettività di rete dei computer Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui la configurazione DSC non è conforme | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-DSCConfigurationStatus di Windows PowerShell restituisce che la configurazione DSC per il computer non è conforme. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il risultato del comando Get-Service di Windows PowerShell non include il nome del servizio con stato corrispondente come specificato nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui la console seriale Windows non è abilitata | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Le macchine non sono conformi se si tratta di macchine Windows che consentono il riutilizzo delle password dopo il numero specificato di password uniche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non sono aggiunti al dominio specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono impostati sul fuso orario specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-ExecutionPolicy di Windows PowerShell restituisce un valore diverso da quello selezionato nel parametro dei criteri. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Non sono conformi le macchine Windows che non limitano la lunghezza minima della password al numero di caratteri specificato. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono stati riavviati entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla le macchine virtuali Windows in attesa di riavvio | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | AuditIfNotExists, Disabled | 3.2.0 |
| Configurare il server Linux per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.3.0-anteprima |
| Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) su macchine Windows. | Crea un'assegnazione della configurazione guest per configurare la versione del protocollo di protezione specificata (TLS 1.1 o TLS 1.2) sulla macchina Windows | DeployIfNotExists, Disabled | 1.0.1 |
| Configura il fuso orario nelle macchine Windows. | Questo criterio crea un'assegnazione della configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. | deployIfNotExists | 2.1.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Linux è un prerequisito per tutte le assegnazioni di Configurazione guest di Linux e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nelle macchine virtuali prima di usare qualsiasi definizione di criteri di Configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| I computer Linux devono includere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.2.0 |
| Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| I metodi di autenticazione locali devono essere disabilitati nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.2.0-preview |
| I metodi di autenticazione locali devono essere disabilitati nei server Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Windows non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Windows siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Gli endpoint privati per le assegnazioni di Configurazione guest devono essere abilitati | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alla configurazione guest per le macchine virtuali. Le macchine virtuali non saranno conformi a meno che non dispongano del tag "EnablePrivateNetworkGC". Questo tag applica la comunicazione sicura tramite la connettività privata alla configurazione guest per le macchine virtuali. La connettività privata limita l'accesso al traffico proveniente solo da reti note e impedisce l'accesso da tutti gli altri indirizzi IP, incluso in Azure. | Audit, Deny, Disabled | 1.1.0 |
| Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l’agente di Configurazione guest di Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
| I computer Windows devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno | Per garantire una protezione adeguata contro il malware appena rilasciato, le firme di protezione di Windows Defender devono essere aggiornate regolarmente per tenere conto del malware appena rilasciato. Questo criterio non viene applicato ai server connessi ad Arc e richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| I computer Windows devono abilitare la protezione in tempo reale di Windows Defender | I computer Windows devono abilitare la protezione in tempo reale in Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio non è applicabile ai server connessi ad arco e richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Pannello di controllo' per personalizzare l'input e impedire l'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per accesso automatico, screen saver, comportamento della rete, file DLL sicuro e log eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per impostazioni che controllano l'esperienza di amministrazione e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso di password vuote e lo stato dell'account guest per account locali. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestare il sistema se non riesce a registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per il disinserimento senza accesso, l'installazione di driver della stampante e la formattazione/espulsione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il nome dell'ultimo utente e richiedere la pressione della combinazione di tasti CTRL+ALT+CANC. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Client di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Client di rete Microsoft' per client/server di rete Microsoft e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso alla rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Console di ripristino di emergenza' per consentire la copia su disco floppy e l'accesso a tutte le unità e a tutte le cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto del sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto del sistema' per consentire l'arresto del sistema senza accesso e la cancellazione del file di paging della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la mancata distinzione maiuscole/minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole dei certificati sugli eseguibili per i criteri di restrizione software e i sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo dell'account utente' per la modalità per amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione di file ed errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Impostazioni di sicurezza - Criteri account' per cronologia, scadenza, lunghezza e complessità delle password e per archiviare le password con la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per controllare la convalida delle credenziali e altri eventi di accesso account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Gestione Account' per il controllo della gestione di applicazioni, sicurezza e gruppi di utenti e per altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Analisi dettagliata' per il controllo di DPAPI, creazione/terminazione di processi, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso/Disconnessione' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso/Disconnessione' per il controllo di IPSec, criteri di rete, attestazioni, blocco degli account, appartenenza a gruppi ed eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, Registro di sistema, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche apportate ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso dei privilegi' per il controllo senza distinzione maiuscole/minuscole e l'uso di altri privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per controllare driver IPsec, integrità di sistema, estensione di sistema, modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, l'accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Componenti di Windows' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Componenti di Windows' per autenticazione di base, traffico non crittografato, account Microsoft, telemetria, Cortana e altri comportamenti di Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Proprietà Windows Firewall' per lo stato, le connessioni, la gestione regole e le notifiche del firewall. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono includere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.0.0 |
| Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster Azure HDInsight devono essere inseriti in una rete virtuale | L'inserimento di cluster Azure HDInsight in una rete virtuale consente di sbloccare funzionalità avanzate di sicurezza e di rete HDInsight e di controllare la configurazione di sicurezza della rete. | Audit, Disabled, Deny | 1.0.0 |
| I cluster di Azure HDInsight devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare chiavi gestite dal cliente per gestire la crittografia a riposo dei cluster Azure HDInsight. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| I cluster di Azure HDInsight devono usare la crittografia a livello di host per la crittografia dei dati inattivi | L'abilitazione della crittografia sull'host aiuta a proteggere e salvaguardare i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| I cluster di Azure HDInsight devono usare la crittografia dei dati in transito per crittografare le comunicazioni tra i nodi del cluster di Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
| Azure HDInsight deve usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati ai cluster Azure HDInsight, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare cluster Azure HDInsight per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere i cluster Azure HDInsight. Per altre informazioni, vedere https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cluster Azure HDInsight con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati ai cluster Azure HDInsight, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Health Bot deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei healthbot. Per impostazione predefinita, i dati sono crittografati a riposo con chiavi gestite dal servizio, ma la chiave gestita dal cliente è comunemente richiesta per soddisfare gli standard di conformità alle normative. La chiave gestita dal cliente consente di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni: https://docs.microsoft.com/azure/health-bot/cmk | Audit, Disabled | 1.0.0 |
Area di lavoro Servizi per i dati sanitari
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'area di lavoro di Servizi per i dati sanitari di Azure deve usare un collegamento privato | L'area di lavoro di Health Data Services deve avere almeno una connessione endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/healthcareapisprivatelink. | Audit, Disabled | 1.0.0 |
API per il settore sanitario
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| CORS non deve consentire a tutti i domini di accedere al servizio FHIR | La CORS non deve consentire a tutti i domini di accedere al servizio FHIR. Per proteggere il servizio FHIR, rimuovere l'accesso per tutti i domini e definire esplicitamente i domini che possono connettersi. | audit, Audit, disabled, Disabled | 1.1.0 |
| Il servizio DICOM deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati nel servizio DICOM dei servizi per i dati sanitari di Azure quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | Audit, Disabled | 1.0.0 |
| Il servizio FHIR deve utilizzare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia inattiva dei dati archiviati nel servizio FHIR dei servizi per i dati sanitari di Azure quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | Audit, Disabled | 1.0.0 |
Internet delle cose
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Azure IoT Hub deve utilizzare una chiave gestita dal cliente per criptare i dati a riposo | La crittografia dei dati inattivi nell'hub IoT con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Le chiavi gestite dal cliente devono essere configurate durante la creazione dell'hub IoT. Per altre informazioni su come configurare le chiavi gestite dal cliente, vedere https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I dati del servizio Device Provisioning in hub IoT devono essere crittografati con chiavi gestite dal cliente) | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio device provisioning in hub IoT. I dati vengono automaticamente crittografati a riposo con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Gli account di Aggiornamento dispositivi di Azure devono usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in Azure Device Update con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Per altre informazioni, vedere https://video2.skills-academy.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Deny, Disabled | 1.0.0 |
| Aggiornamento dispositivi di Azure per gli account hub IoT deve usare il collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati ad Aggiornamento dispositivi di Azure per gli account dell'hub IoT, i rischi di perdita dei dati vengono ridotti. | AuditIfNotExists, Disabled | 1.0.0 |
| I metodi di autenticazione locale dell'hub IoT di Azure dovrebbero essere disabilitati per le API del servizio | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che Azure IoT Hub richieda esclusivamente le identità di Azure Active Directory per l'autenticazione delle Service Api. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Configurare Aggiornamento dispositivi di Azure per gli account hub IoT per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, garantendo che l’aggiornamento dispositivi per hub IoT sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica in Aggiornamento dispositivi per le risorse dell'hub IoT. | Modifica, disattivato | 1.0.0 |
| Configurare Aggiornamento dispositivi di Azure per gli account hub IoT per l’utilizzo di zone private DNS | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per l'aggiornamento dei dispositiviper gli endpoint privati dell'hub IoT. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Aggiornamento dispositivi di Azure per gli account hub IoT con endpoint privato | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente attraverso il quale è possibile raggiungere una risorsa Azure. Questo criterio implementa un endpoint privato per l'hub IoT di Aggiornamento dispositivi per consentire ai servizi all'interno della rete virtuale di raggiungere questa risorsa senza richiedere l'invio del traffico all'endpoint pubblico dell'hub IoT di Aggiornamento dispositivi. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare l'hub IoT di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che Azure IoT Hub richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Modifica, disattivato | 1.0.0 |
| Configurare le istanze del servizio Device Provisioning in hub IoT per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un'istanza del servizio device provisioning in hub IoT. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le istanze del servizio Device Provisioning in hub IoT per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'istanza di device provisioning dell'hub IoT in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Modifica, disattivato | 1.0.0 |
| Configurare le istanze del servizio Device Provisioning in hub IoT con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare hub IoT di Azure per usare zone private DNS | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per gli endpoint privati dell'hub IoT. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Distribuire - Configurare hub IoT di Azure con endpoint privati | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente attraverso il quale è possibile raggiungere una risorsa Azure. Questo criterio implementa un endpoint privato per l'hub IoT per consentire ai servizi all'interno della rete virtuale di raggiungere l'hub IoT senza richiedere l'invio del traffico all'endpoint pubblico dell'hub IoT. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare IoT Central per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per gli endpoint privati di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementare - Configurare IoT Central con endpoint privati | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente attraverso il quale è possibile raggiungere una risorsa Azure. Questo criterio implementa un endpoint privato per IoT Central per consentire ai servizi all'interno della rete virtuale di raggiungere IoT Central senza richiedere l'invio del traffico all'endpoint pubblico di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| IoT Central deve usare il collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati all'applicazione IoT Central anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotcentral-network-security-using-pe. | Audit, Deny, Disabled | 1.0.0 |
| Le istanze del servizio Device Provisioning in hub IoT devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'istanza del servizio device provisioning dell'hub IoT non sia esposta sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle istanze di device provisioning dell'hub IoT. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| Le istanze del servizio Device Provisioning in hub IoT devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio device provisioning in hub IoT, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Modificare - Configurare hub IoT di Azure per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che all'hub IoT di Azure sia possibile accedere solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica nelle risorse dell'hub IoT. | Modifica, disattivato | 1.0.0 |
| Modificare - Configurare IoT Central per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, garantendo che l'IoT Central sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica nelle risorse dell'hub IoT. | Modifica, disattivato | 1.0.0 |
| L'endpoint privato deve essere abilitato per l'hub IoT | Le connessioni private degli endpoint garantiscono una comunicazione sicura, consentendo una connettività privata con IoT Hub. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | Audit, Disabled | 1.0.0 |
| L'accesso alla rete pubblica per Aggiornamento dispositivi di Azure per gli account hub IoT deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza garantendo che l'aggiornamento del dispositivo di Azure per gli account dell'hub IoT sia accessibile solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| L'accesso alla rete pubblica nell'hub IoT di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che all'hub IoT di Azure sia possibile accedere solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per IoT Central. | Per migliorare la sicurezza di IoT Central, assicurarsi che non sia esposto a Internet e che vi si possa accedere solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/iotcentral-restrict-public-access. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nell'hub IoT | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le chiavi HSM gestite di Azure Key Vault devono avere una data di scadenza | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Per le chiavi dell'HSM gestito di Azure Key Vault deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: È necessario specificare i nomi di curva delle chiavi dell'HSM gestito di Azure Key Vault che utilizzano la crittografia a curva ellittica | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Le chiavi dell'HSM gestito di Azure Key Vault che utilizzano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Il modulo di protezione hardware gestito da Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: l’HSM gestito da Azure Key Vault deve usare collegamenti privati | Il collegamento privato fornisce un modo per collegare l’HSM gestito da Azure Key Vault alle risorse di Azure senza inviare il traffico su Internet. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: I certificati devono essere emessi da una delle autorità di certificazione non integrate specificate | Gestire i requisiti di conformità aziendali specificando le autorità di certificazione interne o personalizzate che possono rilasciare certificati nell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare l'HSM gestito di Azure Key Vault per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modifica, disattivato | 2.0.0-preview |
| [Anteprima]: Configurare il modulo di protezione hardware gestito da Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al modulo di protezione hardware gestito di Azure Key Vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un malintenzionato all'interno dell'organizzazione può potenzialmente eliminare e cancellare HSM gestito di Azure Key Vault. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per HSM gestito di Azure Key Vault. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente HSM gestito di Azure Key Vault durante il periodo di conservazione associato all'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault deve usare il modello di autorizzazione di controllo degli accessi in base al ruolo | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: https://video2.skills-academy.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Le istanze di Azure Key Vault devono usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| I certificati devono essere rilasciati dall'autorità di certificazione integrata specificata | Consente di gestire i requisiti di conformità aziendali specificando le autorità di certificazione integrate in Azure che possono rilasciare certificati nell'insieme di credenziali delle chiavi, ad esempio Digicert o GlobalSign. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono essere rilasciati dall'autorità di certificazione non integrata specificata | Gestire i requisiti di conformità aziendali specificando le autorità di certificazione interne o personalizzate che possono rilasciare certificati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono contenere i trigger delle azioni specificate per la durata | Consente di gestire i requisiti di conformità aziendali specificando se un'azione relativa alla durata del certificato viene attivata in corrispondenza di una percentuale specifica della durata o di un determinato numero di giorni prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| I certificati non devono scadere entro il numero di giorni specificato | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono usare i tipi di chiave consentiti | Consente di gestire i requisiti di conformità aziendali limitando i tipi di chiave consentiti per i certificati. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Per i certificati che usano la crittografia a curva ellittica sono necessari nomi di curva consentiti | Consente di gestire i nomi di curva ellittica consentiti per i certificati ECC archiviati nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvpolicy. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Consente di gestire i requisiti di conformità aziendali specificando le dimensioni minime della chiave per i certificati RSA archiviati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Configurare le istanze di Azure Key Vault per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le istanze di Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i Key Vault per abilitare il firewall | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che questo non sia accessibile per impostazione predefinita a nessun indirizzo IP pubblico. È possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Modifica, disattivato | 1.1.1 |
| Implementare - Configurare le impostazioni di diagnostica per Azure Key Vault nell'area di lavoro Log Analytics | Implementare le impostazioni di diagnostica per Azure Key Vault per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creata o aggiornata un'istanza di Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.1 |
| Implementare - Configurare le impostazioni di diagnostica in un hub eventi da abilitare in un HSM gestito di Azure Key Vault | Implementare le impostazioni di diagnostica per i moduli di protezione hardware gestiti di Azure Key Vault per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un modulo di protezione hardware gestito di Azure Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'hub eventi | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.1 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| Le chiavi devono essere supportate da un modulo di protezione hardware | Un modulo di protezione hardware è un modulo di sicurezza hardware che archivia le chiavi. Un modulo di protezione hardware fornisce un livello fisico di protezione per le chiavi crittografiche. La chiave crittografica non può lasciare un modulo di protezione hardware fisico che fornisce un livello di sicurezza maggiore rispetto a una chiave software. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono essere del tipo di crittografia specificato, RSA o a curva ellittica (ECC) | Per alcune applicazioni è necessario usare chiavi supportate da un tipo di crittografia specifico. Applicare uno specifico tipo di chiave di crittografia, RSA o ECC, nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono avere un criterio di rotazione che garantisca che la rotazione sia pianificata entro il numero di giorni specificato dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Audit, Disabled | 1.0.0 |
| Per le chiavi deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per le chiavi è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di una chiave, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi non devono essere attive per un periodo più lungo del numero di giorni specificato | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia a curva ellittica (ECC) devono avere i nomi di curva specificati | Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1 |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni indicate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Per i segreti deve essere impostato il tipo di contenuto | Un tag del tipo di contenuto consente di identificare se un segreto è una password, una stringa di connessione e così via. Segreti diversi hanno requisiti di rotazione diversi. Il tag del tipo di contenuto deve essere impostato nei segreti. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un segreto, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| I segreti non devono essere attivi per un periodo più lungo del numero di giorni specificato | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: [Integrità immagine] I cluster Kubernetes devono usare solo immagini firmate dalla notazione | Usare le immagini firmate dalla notazione per assicurarsi che le immagini provengano da origini attendibili e non vengano modificate in modo dannoso. Per altre info, visitare https://aka.ms/aks/image-integrity | Audit, Disabled | 1.1.0-preview |
| [Anteprima]: I cluster Kubernetes con abilitazione di Azure Arc dovrebbero avere installata l'estensione Microsoft Defender per il cloud | L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| [Anteprima]: non è possibile modificare singoli nodi | Non è possibile modificare singoli nodi. Gli utenti non devono modificare singoli nodi. Modificare i pool di nodi. La modifica di singoli nodi può causare impostazioni incoerenti, sfide operative e potenziali rischi per la sicurezza. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: Configurare i cluster Kubernetes con abilitazione a Azure Arc per installare l'estensione Microsoft Defender per il Cloud | L'estensione Microsoft Defender for Cloud per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.2.0-preview |
| [Anteprima]: Distribuire l'integrità delle immagini nel servizio Azure Kubernetes | Distribuire cluster Azure Kubernetes sia integrità delle immagini che componenti aggiuntivi per i criteri. Per altre info, visitare https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-anteprima |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes devono includere l'hook preStop | Richiede che le immagini del contenitore includano un hook preStop per terminare normalmente i processi durante gli arresti dei pod. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes non devono includere il tag di immagine più recente | Richiede che le immagini del contenitore non usino il tag più recente in Kubernetes, è consigliabile garantire la riproducibilità, impedire gli aggiornamenti imprevisti e semplificare il debug e il rollback usando immagini del contenitore esplicite e con controllo delle versioni. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: i contenitori del cluster Kubernetes devono eseguire il pull solo di immagini quando sono presenti segreti pull delle immagini | Limitare il pull dell'immagine dei contenitori per applicare la presenza di ImagePullSecrets, garantendo l'accesso sicuro e autorizzato alle immagini all'interno di un cluster Kubernetes | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: i servizi cluster Kubernetes devono usare selettori univoci | Verificare che i servizi in uno spazio dei nomi abbiano selettori univoci. Un selettore di servizio univoco garantisce che ogni servizio all'interno di uno spazio dei nomi sia identificabile in modo univoco in base a criteri specifici. Questo criterio sincronizza le risorse in ingresso in OPA tramite Gatekeeper. Prima dell'applicazione, verificare che la capacità di memoria dei pod gatekeeper non venga superata. I parametri si applicano a spazi dei nomi specifici, ma sincronizza tutte le risorse di tale tipo in tutti gli spazi dei nomi. Attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: il cluster Kubernetes deve implementare budget accurati di interruzione dei pod | Impedisce budget di interruzione dei pod difettosi, garantendo un numero minimo di pod operativi. Per informazioni dettagliate, vedere la documentazione ufficiale di Kubernetes. Si basa sulla replica dei dati gatekeeper e sincronizza tutte le risorse di ingresso con ambito in OPA. Prima di applicare questo criterio, assicurarsi che le risorse in ingresso sincronizzate non pressioniranno la capacità di memoria. Anche se i parametri valutano spazi dei nomi specifici, tutte le risorse di quel tipo tra gli spazi dei nomi verranno sincronizzate. Nota: attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: I cluster Kubernetes devono limitare la creazione del tipo di risorsa specificato | Il tipo di risorsa Kubernetes specificato non deve essere distribuito in uno spazio dei nomi specifico. | Audit, Deny, Disabled | 2.3.0-preview |
| [Anteprima]: deve avere un set di regole anti-affinità | Questo criterio garantisce che i pod siano pianificati in nodi diversi all'interno del cluster. Applicando le regole di anti-affinità, la disponibilità viene mantenuta anche se uno dei nodi non è più disponibile. I pod continueranno a essere eseguiti in altri nodi, migliorando la resilienza. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: Modificare il contenitore K8s per rimuovere tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori Linux k8s | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Modificare il contenitore init K8s per rimuovere tutte le funzionalità | Modificare securityContext.capabilities.drop per aggiungere "ALL". In questo modo si rimuovono tutte le funzionalità per i contenitori init di Linux k8s | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: nessuna etichetta specifica del servizio Azure Kubernetes | Impedisce ai clienti di applicare etichette specifiche del servizio Azure Kubernetes. Il servizio Azure Kubernetes usa etichette precedute da kubernetes.azure.com per indicare i componenti di proprietà del servizio Azure Kubernetes. Il cliente non deve usare queste etichette. |
Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: Stampa un messaggio se viene applicata una mutazione | Cerca le annotazioni di mutazione applicate e stampa un messaggio se esiste un'annotazione. | Audit, Disabled | 1.1.0-preview |
| [Anteprima]: taint del pool di sistema riservato | Limita il taint CriticalAddonsOnly solo al pool di sistema. Il servizio Azure Kubernetes usa il taint CriticalAddonsOnly per evitare i pod dei clienti dal pool di sistema. Garantisce una netta separazione tra i componenti del servizio Azure Kubernetes e i pod dei clienti, oltre a impedire che i pod dei clienti vengano rimossi se non tollerano il taint CriticalAddonsOnly. | Audit, Deny, Disabled | 1.2.0-preview |
| [Anteprima]: limita il taint CriticalAddonsOnly solo al pool di sistema. | Per evitare la rimozione delle app utente dai pool di utenti e mantenere la separazione delle preoccupazioni tra l'utente e i pool di sistema, il taint 'CriticalAddonsOnly' non deve essere applicato ai pool di utenti. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta automountServiceAccountToken nel Pod specifico nei contenitori su False. | L'impostazione automountServiceAccountToken su False aumenta la sicurezza evitando il montaggio automatico predefinito dei token dell'account del servizio | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del cluster Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: imposta i limiti di CPU dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti della CPU del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: imposta i limiti di memoria dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non sia presente. | Impostazione dei limiti di memoria del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster Kubernetes su RuntimeDefault, se non è presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i contenitori del cluster init securityContext.runAsUser del cluster init Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: Imposta il tipo di profilo della modalità di calcolo sicura dei contenitori del cluster init Kubernetes su RuntimeDefault, se non presente. | Impostazione del tipo di profilo della modalità di calcolo sicura per i contenitori init per impedire chiamate di sistema non autorizzate e potenzialmente dannose al kernel dallo spazio utente. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta i campi securityContext.runAsUser del Pod Kubernetes su 1000, un ID utente non radice | Riduce la superficie di attacco introdotta tramite l'escalation dei privilegi come utente radice in presenza di vulnerabilità di sicurezza. | Muto, disabilitato | 1.0.0-preview |
| [Anteprima]: imposta i pod maxUnavailable su 1 per le risorse PodDisruptionBudget | L'impostazione del valore massimo del pod non disponibile su 1 garantisce che l'applicazione o il servizio sia disponibile durante un'interruzione | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod nei contenitori init su False. | L'impostazione dell'escalation dei privilegi su False nei contenitori init aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: Imposta l'escalation dei privilegi nella specifica Pod su False. | L'impostazione dell'escalation dei privilegi su False aumenta la sicurezza impedendo ai contenitori di consentire l'escalation dei privilegi, ad esempio tramite set-user-ID o la modalità file set-group-ID. | Muto, disabilitato | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica Pod nei contenitori init su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice. Questo funziona solo per i contenitori Linux. | Muto, disabilitato | 1.2.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica pod su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice | Muto, disabilitato | 1.2.0-preview |
| L'estensione di Criteri di Azure deve essere installata nei cluster Kubernetes con abilitazione per Azure Arc | L'estensione dei criteri d Azure per Azure Arc fornisce un'applicazione su larga scala e salvaguardie sui cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| I cluster Kubernetes abilitati per Arc devono aver installata l'estensione Open Service Mesh | L'estensione Open Service Mesh fornisce tutte le funzionalità standard di service mesh per la sicurezza, la gestione del traffico e l'osservabilità dei servizi applicativi. Per altre informazioni, vedere: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati ad Azure Arc devono avere l'estensione Strimzi Kafka installata | L'estensione Kafka Strimzi fornisce agli operatori di installare Kafka per la creazione di pipeline di dati in tempo reale e applicazioni di streaming con funzionalità di sicurezza e osservabilità. Per altre informazioni, vedere qui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I cluster di Azure Kubernetes devono disabilitare l'SSH | Disabilitando l'SSH è possibile proteggere il cluster e ridurre la superficie di attacco. Per ulteriori informazioni, visitare: aka.ms/aks/disablessh | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare Container Storage Interface (CSI) | La Container Storage Interface (CSI) è uno standard per esporre sistemi di archiviazione a blocchi e file arbitrari a carichi di lavoro containerizzati su Azure Kubernetes Service. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare il Servizio di gestione delle chiavi (KMS) | Usare il servizio di gestione delle chiavi (KMS) per crittografare i dati segreti inattivi in etcd per la sicurezza del cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono usare Azure CNI | Azure CNI è un prerequisito per alcune funzionalità di Azure Kubernetes Service, tra cui i criteri di rete di Azure, i pool di nodi Windows e il componente aggiuntivo dei nodi virtuali. Per altre informazioni, vedere: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| I cluster del servizio Azure Container devono disabilitare Command Invoke | La disabilitazione di Command Invoke può migliorare la sicurezza evitando il bypass dell'accesso di rete con restrizioni o del controllo degli accessi in base al ruolo di Kubernetes | Audit, Disabled | 1.0.1 |
| I cluster del servizio Azure Kubernetes devono abilitare l'aggiornamento automatico del cluster | L'aggiornamento automatico del cluster AKS può assicurarsi che i cluster siano aggiornati e che non vengano perse le funzionalità o le patch più recenti dal servizio Azure Kubernetes e da Kubernetes upstream. Per altre informazioni, vedere https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare Image Cleaner | Image Cleaner esegue l'identificazione e la rimozione automatica delle immagini vulnerabili e inutilizzate, riducendo il rischio di immagini non aggiornate e il tempo necessario per pulirle. Per altre informazioni, vedere https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare l'integrazione di Microsoft Entra ID | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| I cluster del servizio Azure Kubernetes devono abilitare l'aggiornamento automatico del sistema operativo del nodo | L'aggiornamento automatico del sistema operativo del nodo del servizio Azure Kubernetes controlla gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. Per altre informazioni, vedere https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono abilitare l'identità del carico di lavoro | L'identità del carico di lavoro consente di assegnare un'identità univoca a ogni pod Kubernetes e associarla a risorse protette di Azure AD, ad esempio Azure Key Vault, consentendo l'accesso sicuro a queste risorse dall'interno del pod. Per altre informazioni, vedere https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes cloud-native, tra cui l'hardening dell'ambiente, la protezione del carico di lavoro e la protezione del tempo di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster del servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori si possono trovare in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| I cluster del servizio Azure Kubernetes devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che i cluster di servizi Azure Kubernetes richiedano esclusivamente identità Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| I cluster del servizio Azure Kubernetes devono usare identità gestite | Usare le identità gestite per eseguire il wrapping delle entità servizio, semplificare la gestione dei cluster ed evitare la complessità necessaria per le entità servizio gestite. Per altre informazioni, vedere: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| I cluster privati del servizio Azure Kubernetes devono essere abilitati | Abilitare la funzionalità cluster privato per il cluster del servizio Azure Kubernetes per garantire che il traffico di rete tra il server API e i pool di nodi rimanga solo nella rete privata. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con abilitazione per Azure Arc per installare l'estensione di Criteri di Azure | Implementa l'estensione di Azure Policy per Azure Arc per fornire applicazioni su scala ridotta e proteggere i vostri cluster Kubernetes abilitati ad Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare i cluster del servizio Azure Kubernetes per abilitare il profilo Defender | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes cloud-native, tra cui l'hardening dell'ambiente, la protezione del carico di lavoro e la protezione del tempo di esecuzione. Quando si abilita SecurityProfile.Defender nel cluster del servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Perltre informazioni su Microsoft Defender per contenitori vedere https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.3.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando l'origine del contenitore e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e il certificato CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con l'origine del contenitore Flux v2 specificata usando segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti HTTPS | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando i segreti SSH | Distribuire un “sourceControlConfiguration” ai cluster Kubernetes per assicurare che i cluster ottengano la loro fonte di verità per i carichi di lavoro e le configurazioni dall’archivio git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster di servizi Azure Kubernetes integrati con Microsoft Entra ID con l'accesso al gruppo di amministrazione richiesto | Garantire una maggiore sicurezza del cluster governando centralmente l'accesso dell'amministratore ai cluster AKS integrati con Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare l'aggiornamento automatico del sistema operativo del nodo nel cluster Azure Kubernetes | Usare l'aggiornamento automatico del sistema operativo del nodo per controllare gli aggiornamenti della sicurezza del sistema operativo a livello di nodo dei cluster del servizio Azure Kubernetes. Per altre info, visitare https://video2.skills-academy.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Implementare - Configurare le impostazioni di diagnostica per il servizio Azure Kubernetes nell'area di lavoro Log Analytics | Implementa le impostazioni di diagnostica per il servizio Azure Kubernetes per lo streaming i log delle risorse in un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuire il componente aggiuntivo Criteri di Azure nei cluster del servizio Azure Kubernetes | Usare il componente aggiuntivo Criteri di Azure per gestire e segnalare lo stato di conformità dei cluster del servizio Azure Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Implementare Image Cleaner sul servizio Azure Kubernetes | Distribuire Image Cleaner nei cluster Azure Kubernetes. Per altre info, visitare https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Implementare la manutenzione pianificata per pianificare e controllare gli aggiornamenti per il cluster del servizio Azure Kubernetes | Manutenzione pianificata consente di pianificare le finestre di manutenzione settimanali per eseguire gli aggiornamenti e ridurre al minimo l'impatto del carico di lavoro. Una volta pianificato, gli aggiornamenti vengono eseguiti solo durante la finestra selezionata. Per altre informazioni, vedere: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Disabilitare Command Invoke nei cluster del servizio Azure Kubernetes | La disabilitazione di Command Invoke può migliorare la sicurezza rifiutando l'accesso Command Invoke al cluster | DeployIfNotExists, Disabled | 1.2.0 |
| Assicurare che per i contenitori del cluster siano configurati probe di conformità o di attività | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.3.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC dell'host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limita i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Audit, Deny, Disabled | 3.2.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod e contenitori del cluster Kubernetes devono usare solo le opzioni SELinux consentite | I pod e contenitori devono usare solo le opzioni SELinux consentite in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono utilizzare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Audit, Deny, Disabled | 2.2.0 |
| I contenitori Windows del cluster Kubernetes non devono effettuare l'overcommit di CPU e memoria | Le richieste di risorse contenitore di Windows devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se viene eseguito il provisioning eccessivo della memoria di Windows, le pagine verranno elaborate su disco, che può rallentare le prestazioni, anziché terminare il contenitore con memoria insufficiente | Audit, Deny, Disabled | 2.2.0 |
| I contenitori windows del cluster Kubernetes non devono essere eseguiti come ContainerAdministrator | Impedire l'utilizzo di ContainerAdministrator come utente per eseguire i processi del contenitore per pod o contenitori Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.2.0 |
| I contenitori Windows del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare l'utente che i pod e i contenitori di Windows possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows che consentono di migliorare la sicurezza degli ambienti Kubernetes. | Audit, Deny, Disabled | 2.2.0 |
| I pod Windows del cluster Kubernetes non devono eseguire contenitori HostProcess | Impedire l'accesso prviledged al nodo windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visitare https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono assicurarsi che il ruolo di amministratore del cluster venga usato solo se necessario | Il ruolo “cluster-admin” offre poteri di ampia portata nell'ambiente e deve essere usato solo dove e quando necessario. | Audit, Disabled | 1.1.0 |
| I cluster Kubernetes devono ridurre al minimo l'uso dei caratteri jolly nel ruolo e nel ruolo del cluster | L'uso dei caratteri jolly “*” può essere un rischio per la sicurezza perché concede autorizzazioni generali che potrebbero non essere necessarie per un ruolo specifico. Se un ruolo ha troppe autorizzazioni, potrebbe essere usato in modo improprio da un utente malintenzionato o compromesso per ottenere l'accesso non autorizzato alle risorse nel cluster. | Audit, Disabled | 1.1.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.2.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica dell'endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.2.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.2.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes devono usare driver Container Storage Interface(CSI) StorageClass | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner ad albero StorageClass deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, vedere https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.3.0 |
| I cluster Kubernetes devono usare servizi di bilanciamento del carico interni | Usare i bilanciatori di carico interni per rendere un servizio Kubernetes accessibile solo alle applicazioni in esecuzione nella stessa rete virtuale del cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Le risorse Kubernetes devono avere annotazioni obbligatorie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è generalmente disponibile per Kubernetes Service (AKS) e in anteprima per Kubernetes abilitato ad Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| I log delle risorse del servizio Azure Kubernetes devono essere abilitati | I log delle risorse del servizio Azure Kubernetes consentono di ricreare i percorsi di attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host di macchine virtuali (VM) dei nodi del servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
Lab Services
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Lab Services deve abilitare tutte le opzioni per l'arresto automatico | Questo criterio aiuta a gestire i costi, in quanto impone che tutte le opzioni di arresto automatico siano abilitate per un laboratorio. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services non deve consentire le macchine virtuali modello per i lab | Questo criterio impedisce la creazione e la personalizzazione di macchine virtuali modello per lab gestiti tramite Lab Services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services deve richiedere l'utente non amministratore per i lab | Questo criterio richiede la creazione di un account utente non amministratore per i lab gestiti tramite i Lab Services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services deve limitare le dimensioni consentite dello SKU della macchina virtuale | Questo criterio consente di limitare determinati SKU di macchine virtuali di calcolo per i lab gestiti tramite Lab Services. Ciò limiterà determinate dimensioni della macchina virtuale. | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Consenti agli ID tenant di gestione di eseguire l'onboarding tramite Azure Lighthouse | La limitazione delle deleghe di Azure Lighthouse a tenant di gestione specifici aumenta la sicurezza limitando i soggetti che possono gestire le risorse di Azure. | rifiutare | 1.0.1 |
| Controlla la delega degli ambiti in un tenant di gestione | Controlla la delega degli ambiti in un tenant di gestione tramite Azure Lighthouse. | Audit, Disabled | 1.0.0 |
App per la logica
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'ambiente del servizio di integrazione delle app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
| Le app per la logica devono essere distribuite nell'ambiente del servizio di integrazione | La distribuzione di App per la logica nell'ambiente del servizio di integrazione in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza delle app per la logica e offre un maggiore controllo sulla configurazione di rete. Per altre informazioni, vedere https://aka.ms/integration-service-environment. La distribuzione nell'ambiente del servizio di integrazione consente anche la crittografia con chiavi gestite dal cliente che offre una protezione dei dati avanzata consentendo di gestire le chiavi di crittografia. Tale funzionalità è spesso necessaria per soddisfare i requisiti di conformità. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati in App per la logica | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le distribuzioni del Registro modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuire solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | Deny, Disabled | 1.0.0-preview |
| L'istanza di calcolo dell’ambiente di calcolo di Machine Learning di Azure deve avere un arresto per inattività.. | La pianificazione di un per inattività riduce i costi arrestando le risorse di calcolo inattive dopo un periodo di attività prestabilito. | Audit, Deny, Disabled | 1.0.0 |
| È necessario ricreare le istanza di ambiente di calcolo di Azure Machine Learning per ottenere gli aggiornamenti software più recenti | Verificare che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Gli ambienti di calcolo di Azure Machine Learning devono essere in una rete virtuale | Le reti virtuali di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Audit, Disabled | 1.0.1 |
| Gli ambienti di calcolo di Machine Learning devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza, garantendo che Machine Learning Computes richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia inattiva dei dati dello spazio di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://video2.skills-academy.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Le aree di lavoro di Azure Machine Learning devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento rete | Azure ML sta effettuando una transizione a una nuova piattaforma API V2 in Azure Resource Manager ed è possibile controllare la versione della piattaforma API usando il parametro V1LegacyMode. L'abilitazione del parametro V1LegacyMode consentirà di mantenere le aree di lavoro nello stesso isolamento di rete della versione 1, anche se non si avranno a disposizione le nuove funzionalità V2. È consigliabile attivare la modalità legacy V1 solo quando si desidera mantenere i dati del piano di controllo AzureML all'interno delle reti private. Per altre informazioni, vedere https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare un'identità gestita assegnata dall'utente | Accesso manange all'area di lavoro di Azure ML e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata dall'area di lavoro di Azure ML per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa di Azure e di mantenere il ciclo di vita di tale identità. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Configurare i calcoli di Machine Learning per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che i computer di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Modifica, disattivato | 2.1.0 |
| Configurare l'area di lavoro di Azure Machine Learning per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Azure Machine Learning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le aree di lavoro di Azure Machine Learning in modo che le aree di lavoro non siano accessibili tramite La rete Internet pubblica. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://video2.skills-academy.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modifica, disattivato | 1.0.3 |
| Configurare le aree di lavoro di Azure Machine Learning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati all'area di lavoro di Azure Machine Learning, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning nell'area di lavoro Log Analytics | Consente di distribuire le impostazioni di diagnostica per le Aree di lavoro di Azure Machine Learning per trasmettere i log delle risorse a un'Area di lavoro Log Analytics quando viene creata o aggiornata un'Area di lavoro di Azure Machine Learning in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse nell'area di lavoro di Azure Machine Learning devono essere abilitati | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
Applicazione gestita
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La definizione di applicazione per l'applicazione gestita deve usare l'account di archiviazione fornito dal cliente | Usare il proprio account di archiviazione per controllare i dati della definizione di applicazione quando si tratta di un requisito normativo o di conformità. È possibile scegliere di archiviare la definizione di applicazione gestita in un account di archiviazione fornito dall'utente corrente durante la creazione, per poter gestire la località e l'accesso al fine di soddisfare i requisiti di conformità normativi. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Distribuisci le associazioni per un'applicazione gestita | Distribuisce una risorsa di associazione che associa i tipi di risorse selezionate all'applicazione gestita specificata. Questa distribuzione dei criteri non supporta i tipi di risorse annidati. | deployIfNotExists | 1.0.0 |
Grafana gestito
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le aree di lavoro Grafana con gestione Azure devono disabilitare le impostazioni di posta elettronica | Disabilitare la configurazione delle impostazioni SMTP del punto di contatto di posta elettronica per gli avvisi nell'area di lavoro di Grafana. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Grafana con gestione Azure devono disabilitare l'aggiornamento di Grafana Enterprise | Disabilitare l'aggiornamento di Grafana Enterprise nell'area di lavoro di Grafana. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Grafana gestite di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro Grafana gestita di Azure non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Grafana con gestione Azure devono disabilitare l'account del servizio | Disabilitare le chiavi API e l'account del servizio per i carichi di lavoro automatizzati nell'area di lavoro di Grafana. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Grafana con gestione Azure devono usare un collegamento privato | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Managed Grafana, è possibile ridurre i rischi di perdita dei dati. | Audit, Disabled | 1.0.1 |
| Configurare le aree di lavoro di Grafana gestite di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'area di lavoro Grafana gestita di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. | Modifica, disattivato | 1.0.0 |
| Configurare le aree di lavoro di Grafana gestite di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Grafana gestite di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Grafana con gestione Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Grafana gestito di Azure, è possibile ridurre i rischi di perdita dei dati. | DeployIfNotExists, Disabled | 1.0.1 |
Identità gestita
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le credenziali federate dell'identità gestita da Azure Kubernetes devono essere provenienti da origini attendibili | Questo criterio limita la federeation con i cluster Azure Kubernetes solo a cluster provenienti da tenant approvati, aree approvate e un elenco specifico di eccezioni di cluster aggiuntivi. | Audit, Disabled, Deny | 1.0.0-preview |
| [Anteprima]: le credenziali federate dell'identità gestita da GitHub devono essere di proprietari di repository attendibili | Questo criterio limita la federazione con i repository GitHub solo ai proprietari dei repository approvati. | Audit, Disabled, Deny | 1.0.1-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita devono essere provenienti dai tipi di autorità di certificazione consentiti | Questo criterio limita se le identità gestite possono usare credenziali federate, quali tipi di autorità di certificazione comuni sono consentiti e fornisce un elenco di eccezioni emittente consentite. | Audit, Disabled, Deny | 1.0.0-preview |
| [Anteprima]: Assegnare l’identità gestita predefinita assegnata dall’utente a set di scalabilità di macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala ai set di scalabilità di macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Assegnare l’identità gestita assegnata dall’utente predefinita a set di scalabilità di macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala alle macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.1.0-preview |
Mappe
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| CORS non deve consentire a ogni risorsa di accedere all'account mappa. | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere al tuo account mappe. Consentire solo ai domini necessari di interagire con il tuo account mappe. | Disabilitato, rivisto, rifiutato | 1.0.0 |
Servizi multimediali
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account Servizi multimediali di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le risorse di Servizi multimediali non siano esposte su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse di Servizi multimediali. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Gli account Servizi multimediali di Azure devono usare un'API che supporta il collegamento privato | Gli account Servizi multimediali devono essere creati con un'API che supporta il collegamento privato. | Audit, Deny, Disabled | 1.0.0 |
| Gli account Servizi multimediali di Azure che consentono l'accesso all'API v2 legacy devono essere bloccati | L'API legacy di Servizi multimediali v2 consente richieste che non possono essere gestite tramite Criteri di Azure. Le risorse di Servizi multimediali create con l'API 2020-05-01 o versioni successive bloccano l'accesso all'API legacy v2. | Audit, Deny, Disabled | 1.0.0 |
| I criteri di chiave simmetrica di Servizi multimediali di Azure devono usare l'autenticazione token | I criteri chiave simmetrica definiscono le condizioni che devono essere soddisfatte per accedere alle chiavi simmetriche. Una restrizione del token garantisce che le chiavi simmetriche possano essere accessibili solo dagli utenti che dispongono di token validi da un servizio di autenticazione, ad esempio l'ID Microsoft Entra. | Audit, Deny, Disabled | 1.0.1 |
| I processi dei Servizi multimediali di Azure con input HTTPS devono limitare gli URI di input ai criteri URI consentiti | Limitare gli input HTTPS usati dai processi di Servizi multimediali agli endpoint noti. Gli input dagli endpoint HTTPS possono essere disabilitati completamente impostando un elenco vuoto di modelli di input dei processi consentiti. Dove gli input del processo specificano un 'baseUri' i modelli verranno confrontati con questo valore; quando 'baseUri' non è impostato, il criterio viene confrontato con la proprietà 'files'. | Deny, Disabled | 1.0.1 |
| In Servizi multimediali di Azure è necessario usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia a riposo degli account Media Services. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| I Servizi multimediali di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account di Servizi multimediali. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Migrazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le risorse Azure Migrate per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il progetto di Azure Migrate. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
Rete mobile
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare l'accesso diagnostico del piano di controllo di Packet Core per l'uso del tipo di autenticazione Microsoft EntraID | Il tipo Authenticaton deve essere Microsoft EntraID per l'accesso diagnostico di base dei pacchetti tramite le API locali | Modifica, disattivato | 1.0.0 |
| L'accesso diagnostico del piano di controllo di Packet Core deve usare solo il tipo di autenticazione EntraID di Microsoft | Il tipo Authenticaton deve essere Microsoft EntraID per l'accesso diagnostico di base dei pacchetti tramite le API locali | Audit, Deny, Disabled | 1.0.0 |
| Il Gruppo SIM dovrebbe utilizzare chiavi gestite dal cliente per criptare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei segreti SIM inattivi in un gruppo SIM. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative e consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
Monitoraggio
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Configurare i computer Linux abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Protegge i computer Linux abilitati per Azure Arc con le funzionalità di Microsoft Defender per il cloud installando gli agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer Windows abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Proteggere i computer Windows abilitati per Azure Arc con le funzionalità di Microsoft Defender per il cloud installando gli agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Configurare l'identità gestita assegnata al sistema per abilitare le assegnazioni di Monitoraggio di Azure nelle macchine virtuali | Configurare l'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Monitoraggio di Azure e non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Monitoraggio di Azure e deve essere aggiunta ai computer prima di usare qualsiasi estensione di Monitoraggio di Azure. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | Modifica, disattivato | 6.0.0-anteprima |
| [Anteprima]: L'estensione di Log Analytics deve essere abilitata per le immagini delle macchine virtuali nell'elenco | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc | Questo criterio controlla le macchine virtuali Linux in Azure Arc in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc | Questo criterio controlla le macchine virtuali Windows in Azure Arc in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-anteprima |
| [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-anteprima |
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| I componenti di Application Insights devono bloccare l'inserimento di log e le relative query dalle reti pubbliche | Migliorare la sicurezza di Application Insights bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log di questo componente. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I componenti di Application Insights dovrebbero bloccare l'inserimento non basato su Azure Active Directory. | Se si impone l'inserimento del log in modo da richiedere l'autenticazione Azure Active Directory, i log non autenticati di un utente malintenzionato potrebbero determinare uno stato non corretto, falsi avvisi e log non corretti memorizzati nel sistema. | Rifiutare, controllare, disabilitato | 1.0.0 |
| I componenti di Application Insights con collegamento privato abilitato dovrebbero usare account di archiviazione Bring Your Own per profiler e debugger.. | Per supportare i criteri di collegamento privato e chiave gestita dal cliente, creare un account di archiviazione personalizzato per profiler e debugger. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Rifiutare, controllare, disabilitato | 1.0.0 |
| Controllare l'impostazione di diagnostica per i tipi di risorse selezionati | Controlla l'impostazione di diagnostica per i tipi di risorse selezionati. Assicurarsi di selezionare solo i tipi di risorse che supportano le impostazioni di diagnostica. | AuditIfNotExists | 2.0.1 |
| L’applicazione Gateway di Azure deve avere i log delle risorse abilitati | Abilitare i log delle risorse per il gateway applicazione di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Frontdoor di Azure devono avere i log delle risorse abilitati | Abilitare i log delle risorse per Frontdoor di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Per Frontdoor di Azure Standard o Premium (Plus WAF) devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Frontdoor di Azure Standard o Premium (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli avvisi per la ricerca log di Azure nelle aree di lavoro log Analytics devono usare le chiavi gestite dal cliente | Assicurarsi che gli avvisi di Ricerca log di Azure implementino chiavi gestite dal cliente archiviando il testo della query usando l'account di archiviazione fornito dal cliente per l'area di lavoro Log Analytics su cui è stata eseguita una query. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Disabled, Deny | 1.0.0 |
| Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
| I cluster dei log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I cluster dei log di Monitoraggio di Azure devono essere crittografati con una chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log sono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare la conformità normativa. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics | Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| L'ambito collegamento privato di Monitoraggio di Azure deve bloccare l'accesso alle risorse collegamento non private | Collegamento privato di Azure consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito di collegamento privato di Monitoraggio di Azure (AMPLS). Le modalità di accesso al collegamento privato sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo le risorse collegamento privato (per impedire l'esfiltrazione di dati). È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Deny, Disabled | 1.0.0 |
| L'ambito collegamento privato di Monitoraggio di Azure dovrebbe usare un collegamento privato | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'ambito dei collegamenti privati di Monitoraggio di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
| La soluzione 'Sicurezza e controllo' di Monitoraggio di Azure deve essere distribuita | Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito. | AuditIfNotExists, Disabled | 1.0.0 |
| Le sottoscrizioni di Azure devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare i log attività di Azure per il flusso nell'area di lavoro Log Analytics specificata | Implementa le impostazioni di diagnostica per l'attività di Azure per trasmettere i log di audit delle sottoscrizioni in un'area di lavoro Log Analytics per monitorare gli eventi a livello di sottoscrizione | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i componenti di Azure Application Insights per disabilitare l'accesso alla rete pubblica per l'inserimento e le query su log | Disabilitare l'inserimento e l'esecuzione di query sui componenti dalle reti pubbliche per migliorare la sicurezza. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modifica, disattivato | 1.1.0 |
| Configurare le aree di lavoro di Azure Log Analytics per disabilitare l'accesso alla rete pubblica per l'inserimento e le query su log | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modifica, disattivato | 1.1.0 |
| Configurare l'ambito collegamento privato di Monitoraggio di Azure in modo da bloccare l'accesso alle risorse collegamento non private | Collegamento privato di Azure consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito di collegamento privato di Monitoraggio di Azure (AMPLS). Le modalità di accesso al collegamento privato sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo le risorse collegamento privato (per impedire l'esfiltrazione di dati). È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modifica, disattivato | 1.0.0 |
| Configurare l'ambito collegamento privato di Monitoraggio di Azure per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'ambito del collegamento privato di Monitoraggio di Azure. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare ambiti collegamento privato di Monitoraggio di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Monitoraggio di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Dependency Agent nei server Linux abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare Dependency Agent in nei server Linux abilitati ad Azure Arc con le impostazioni dell'agente di Monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Dependency Agent nei server Windows abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare Dependency Agent in nei server Windows abilitati ad Azure Arc con le impostazioni dell'agente di Monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare i computer Linux ARC da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i computer Linux Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.1 |
| Configurare i computer abilitati ad Arc Linux per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 2.4.0 |
| Configurare computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 6.5.1 |
| Configurare i set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.4.1 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 3.8.0 |
| Configurare le macchine virtuali Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Implementare associazione per collegare le macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.4.1 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 3.8.0 |
| Configurare l'estensione Log Analytics sui server Linux abilitati ad Azure Arc. Vedere l'avviso di deprecazione riportato di seguito | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | DeployIfNotExists, Disabled | 2.1.1 |
| Configurare l'estensione di Log Analytics nei server Windows abilitati ad Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, vedere https://aka.ms/vminsightsdocs. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 2.1.1 |
| Configurare l'area di lavoro Log Analytics e l'account di automazione per centralizzare i log e il monitoraggio | Distribuire un gruppo di risorse contenente l'area di lavoro Log Analytics e l'account di automazione collegato per centralizzare i log e il monitoraggio. L'account di automazione è un prerequisito per soluzioni come Aggiornamenti e Rilevamento modifiche. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurare i computer Windows ARC da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i computer Windows Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.1 |
| Configurare i computer abilitati ad Arc Windows per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 2.4.0 |
| Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare macchine virtuali Windows, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.5.1 |
| Configurare i set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.1 |
| Configurare i set di scalabilità delle macchine virtuali Windows per eseguire Agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 3.4.0 |
| Configurare i set di scalabilità delle macchine virtuali Windows per eseguire Agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.6.0 |
| Configurare le macchine virtuali Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuire associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.1 |
| Configurare le macchine virtuali Windows per l'esecuzione di Agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 4.4.0 |
| Configurare le macchine virtuali Windows per eseguire l'Agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.6.0 |
| Dependency Agent deve essere abilitato nelle immagini delle macchine virtuali nell'elenco | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. | AuditIfNotExists, Disabled | 2.0.0 |
| Dependency Agent deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo, man mano che il supporto viene aggiornato. | AuditIfNotExists, Disabled | 2.0.0 |
| Implementare - Configurare Dependency Agent da abilitare nei set di scalabilità macchine virtuali Windows | Implementare Dependency Agent per i set di scalabilità di macchine virtuali di Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 3.2.0 |
| Implementare - Configurare Dependency Agent da abilitare nelle macchine virtuali Windows | Implementare Dependency Agent per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.2.0 |
| Implementare - Configurare le impostazioni di diagnostica in un'area di lavoro Log Analytics da abilitare in un modulo di protezione hardware gestito di Azure Key Vault | Implementa le impostazioni di diagnostica per i moduli di protezione hardware gestiti di Azure Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un modulo di protezione hardware gestito di Azure Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementare - Configurare l'estensione di Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Implementare - Configurare l'estensione di Log Analytics da abilitare nelle macchine virtuali Windows | Implementare l'estensione Log Analytics per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci Dependency Agent per i set di scalabilità di macchine virtuali Linux | Distribuisce Dependency Agent per i set di scalabilità di macchine virtuali Linux se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | deployIfNotExists | 5.1.0 |
| Implementare Dependency Agent per i set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure | Implementare l'agente di dipendenza per i set di macchine virtuali Linux con le impostazioni di Azure Monitoring Agent se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | DeployIfNotExists, Disabled | 3.2.0 |
| Distribuisci Dependency Agent per le macchine virtuali Linux | Distribuisce Dependency Agent per le macchine virtuali Linux se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | deployIfNotExists | 5.1.0 |
| Implementare Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure | Implementare Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di Monitoraggio di Azure se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.2.0 |
| Implementare Dependency Agent da abilitare nei set di scalabilità di macchine virtuali con le impostazioni dell'agente di Monitoraggio di Azure | Implementare l'agente di dipendenza per i set di macchine virtuali Windows con le impostazioni di Azure Monitoring Agent se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 1.3.0 |
| Implementare Dependency Agent da abilitare nelle macchine virtuali Windows con le impostazioni dell'agente di Monitoraggio di Azure | Implementare Dependency Agent per le macchine virtuali Windows con le impostazioni dell'agente di Monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 1.3.0 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.1.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per hub eventi nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per l'hub eventi nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'hub eventi | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire le impostazioni di diagnostica per i gruppi di sicurezza di rete | Questo criterio distribuisce automaticamente le impostazioni diagnostiche nei gruppi di sicurezza di rete. Verrà creato automaticamente un account di archiviazione con il nome '{storagePrefixParameter}{NSGLocation}'. | deployIfNotExists | 2.0.1 |
| Distribuisci le impostazioni di diagnostica per i servizi di ricerca nell'hub eventi | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il servizio di ricerca nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'hub eventi | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'hub eventi | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementare l'estensione Log Analytics per i set di macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Implementare l'estensione Log Analytics per i set di macchine virtuali Linux se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'estensione non è installata. Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. Avviso di deprecazione: l'agente di Log Analytics non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Distribuire l'estensione Log Analytics per le macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Implementare l'estensione Log Analytics per le macchine virtuali Linux se l'immagine della macchina virtuale (OS) è nell'elenco definito e l'estensione non è installata. Nota di deprecazione: l'agente di Log Analytics si trova in un percorso deprecato e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool ospitati 1ES (microsoft.cloudtest/hostedpools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per pool ospitati 1ES (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool ospitati 1ES (microsoft.cloudtest/hostedpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per pool ospitati 1ES (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool ospitati 1ES (microsoft.cloudtest/hostedpools) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool ospitati 1ES (microsoft.cloudtest/hostedpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analysis Services (microsoft.analysisservices/servers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analysis Services (microsoft.analysisservices/servers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione diagnostica utilizzando un gruppo di categorie per instradare i log a un'area di lavoro di Log Analytics per Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analysis Services (microsoft.analysisservices/servers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Analysis Services (microsoft.analysisservices/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) nell'hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio app (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli ambienti del servizio app (microsoft.web/hostingenvironments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gruppo di applicazioni (microsoft.desktopvirtualization/applicationgroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il gruppo di applicazioni Desktop virtuale Azure (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gruppi di applicazioni (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Application Insights (microsoft.insights/components) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Application Insights (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Application Insights (microsoft.insights/components) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Application Insights (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Application Insights (Microsoft.Insights/components) in Log Analytics (enclave virtuali) | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.1 |
| Abilitare la registrazione per gruppo di categorie per Application Insights (microsoft.insights/components) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Application Insights (microsoft.insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i provider di attestazioni (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i provider di attestazioni (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i provider di attestazione (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i cloud privati AVS (microsoft.avs/privateclouds) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i cloud privati AVS (microsoft.avs/privateclouds) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per cloud privati AVS (microsoft.avs/privateclouds) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure AD Domain Services (microsoft.aad/domainservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure AD Domain Services (microsoft.aad/domainservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure AD Domain Services (microsoft.aad/domainservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure AD Domain Services (microsoft.aad/domainservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per l'API di Azure per FHIR (microsoft.healthcareapis/services) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per l'API di Azure per FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per l'API di Azure per FHIR (microsoft.healthcareapis/services) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'API di Azure per FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per l'API di Azure per FHIR (microsoft.healthcareapis/services) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per l'API di Azure per FHIR (microsoft.healthcareapis/services). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Cache Redis di Azure (microsoft.cache/redis) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Cache Redis di Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Cache Redis di Azure (microsoft.cache/redis) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Cache Redis di Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Cache Redis di Azure (microsoft.cache/redis) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Cache Redis di Azure (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cluster di Esplora dati di Azure (microsoft.kusto/clusters) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i cluster di Esplora dati di Azure (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cluster di Esplora dati di Azure (microsoft.kusto/clusters) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i cluster di Esplora dati di Azure (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i cluster di Esplora dati di Azure (microsoft.kusto/clusters) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i cluster di Esplora dati di Azure (microsoft.kusto/clusters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i server di Database di Azure per MariaDB (microsoft.dbformariadb/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MySQL (microsoft.dbformysql/servers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i server di Database di Azure per MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MySQL (microsoft.dbformysql/servers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i server di Database di Azure per MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i server di Database di Azure per MySQL (microsoft.dbformysql/servers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i server di Database di Azure per MySQL (microsoft.dbformysql/servers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Databricks Services (microsoft.databricks/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Databricks Services (microsoft.databricks/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Databricks Services (microsoft.databricks/workspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Databricks Services (microsoft.databricks/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Gemelli digitali di Azure (microsoft.digitaltwins/digitaltwinsinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per test di carico di Azure (microsoft.loadtestservice/loadtests) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per test di carico di Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per test di carico di Azure (microsoft.loadtestservice/loadtests) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per test di carico di Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per test di carico di Azure (microsoft.loadtestservice/loadtests) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per test di carico di Azure (microsoft.loadtestservice/loadtests). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Grafana gestito di Azure (microsoft.dashboard/grafana) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Grafana gestito di Azure (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Grafana gestito di Azure (microsoft.dashboard/grafana) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Grafana gestita di Azure (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Grafana gestito di Azure (microsoft.dashboard/grafana) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Grafana gestito di Azure (microsoft.dashboard/grafana). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per App Spring di Azure (microsoft.appplatform/spring) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Spring Apps (microsoft.appplatform/spring) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per App Spring di Azure (microsoft.appplatform/spring) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Spring Apps (microsoft.appplatform/spring). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Synapse Analytics (microsoft.synapse/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Video Indexer (microsoft.videoindexer/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Video Indexer (microsoft.videoindexer/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Video Indexer (microsoft.videoindexer/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Video Indexer (microsoft.videoindexer/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali di Backup (microsoft.dataprotection/backupvaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali di backup (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali di backup (microsoft.dataprotection/backupvaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali di backup (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali di backup (microsoft.dataprotection/backupvaults) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli insiemi di credenziali di backup (microsoft.dataprotection/backupvaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Batch (microsoft.batch/batchaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Batch (microsoft.batch/batchaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Batch (microsoft.batch/batchaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account Batch (microsoft.batch/batchaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per servizi Bot (microsoft.botservice/botservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi Bot (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per servizi Bot (microsoft.botservice/botservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi Bot (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi Bot (microsoft.botservice/botservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Servizi Bot (microsoft.botservice/botservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cache (microsoft.cache/redisenterprise/databases) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cache (microsoft.cache/redisenterprise/databases) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per cache (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cache (microsoft.cache/redisenterprise/databases) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le cache (microsoft.cache/redisenterprise/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli Esperimenti Chaos (microsoft.chaos/experiments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli Esperimenti Chaos (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli Esperimenti Chaos (microsoft.chaos/experiments) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli Esperimenti Chaos (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli Esperimenti Chaos (microsoft.chaos/experiments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli Esperimenti Chaos (microsoft.chaos/experiments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di firma del codice (microsoft.codesigning/codesigningaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account di firma del codice (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di firma del codice (microsoft.codesigning/codesigningaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account di firma del codice (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di firma del codice (microsoft.codesigning/codesigningaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account di firma del codice (microsoft.codesigning/codesigningaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi di comunicazione (microsoft.communication/communicationservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi di comunicazione (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi di comunicazione (microsoft.communication/communicationservices) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi di comunicazione (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi di comunicazione (microsoft.communication/communicationservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Servizi di comunicazione (microsoft.communication/communicationservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le risorse della cache connessa (microsoft.connectedcache/ispcustomers) nell'hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le risorse della cache connessa (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le risorse di cache connessa (microsoft.connectedcache/ispcustomers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le risorse della cache connessa (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le risorse della cache connessa (microsoft.connectedcache/ispcustomers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le risorse della cache connessa (microsoft.connectedcache/ispcustomers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti di app contenitore (microsoft.app/managedenvironments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli ambienti delle app contenitore (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti di app contenitore (microsoft.app/managedenvironments) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per ambienti app contenitore (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti di app contenitore (microsoft.app/managedenvironments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli ambienti delle app contenitore (microsoft.app/managedenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze di Container (microsoft.containerinstance/containergroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le istanze di Container (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per istanze di Container (microsoft.containerinstance/containergroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le istanze di Container (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze di Container (microsoft.containerinstance/containergroups) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le istanze di Container (microsoft.containerinstance/containergroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per registri contenitori (microsoft.containerregistry/registries) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i registri contenitori (microsoft.containerregistry/registries) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i registri contenitori (microsoft.containerregistry/registries) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le regole di raccolta dati (microsoft.insights/datacollectionrules) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le regole di raccolta dati (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le regole di raccolta dati (microsoft.insights/datacollectionrules) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le regole di raccolta dati (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le regole di raccolta dati (microsoft.insights/datacollectionrules) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le regole di raccolta dati (microsoft.insights/datacollectionrules). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per data factory (V2) (microsoft.datafactory/factory) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per data factory (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per data factory (V2) (microsoft.datafactory/factory) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per data factory (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per data factory (V2) (microsoft.datafactory/factory) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per data factory (V2) (microsoft.datafactory/factory). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Analytics (microsoft.datalakeanalytics/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Analytics (microsoft.datalakeanalytics/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Analytics (microsoft.datalakeanalytics/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Data Lake Analytics (microsoft.datalakeanalytics/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Storage Gen1 (microsoft.datalakestore/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Storage Gen1 (microsoft.datalakestore/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Data Lake Storage Gen1 (microsoft.datalakestore/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Data Lake Storage Gen1 (microsoft.datalakestore/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per condivisioni dati (microsoft.datashare/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per condivisioni dati (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per condivisioni dati (microsoft.datashare/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per condivisioni dati (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per condivisioni dati (microsoft.datashare/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le condivisioni dati (microsoft.datashare/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i centri di sviluppo (microsoft.devcenter/devcenters) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per centri di sviluppo (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i centri di sviluppo (microsoft.devcenter/devcenters) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i centri di sviluppo (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i centri di sviluppo (microsoft.devcenter/devcenters) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i centri di sviluppo (microsoft.devcenter/devcenters). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per il servizio DICOM (microsoft.healthcareapis/workspaces/dicomservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint (microsoft.cdn/profiles/endpoints) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per endpoint (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint (microsoft.cdn/profiles/endpoints) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per endpoint (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint (microsoft.cdn/profiles/endpoints) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli endpoint (microsoft.cdn/profiles/endpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione in base al gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione in base al gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli argomenti partner di Griglia di eventi (microsoft.eventgrid/partnertopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli argomenti di sistema di Griglia di eventi (microsoft.eventgrid/systemtopics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le aree di lavoro dell'esperimento (microsoft.experimentation/experimentworkspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio FHIR (microsoft.healthcareapis/workspaces/fhirservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un servizio hub eventi per FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio FHIR (microsoft.healthcareapis/workspaces/fhirservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio FHIR (microsoft.healthcareapis/workspaces/fhirservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per il servizio FHIR (microsoft.healthcareapis/workspaces/fhirservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.cdn/profiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili Frontdoor e rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.cdn/profiles) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili Frontdoor e della rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.cdn/profiles) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili Frontdoor e rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per App per le funzioni (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'app per le funzioni (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il pool di host (microsoft.desktopvirtualization/hostpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il pool di host di Desktop virtuale Azure (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di host (microsoft.desktopvirtualization/hostpools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool di host (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di host (microsoft.desktopvirtualization/hostpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool di host (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool di host (microsoft.desktopvirtualization/hostpools) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool di host (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le cache HPC (microsoft.storagecache/caches) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le cache HPC (microsoft.storagecache/caches). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di integrazione (microsoft.logic/integrationaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account di integrazione (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di integrazione (microsoft.logic/integrationaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account di integrazione (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di integrazione (microsoft.logic/integrationaccounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account di integrazione (microsoft.logic/integrationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per l'hub IoT (microsoft.devices/iothubs) nell'hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per l'hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per l'hub IoT (microsoft.devices/iothubs) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per l'hub IoT (microsoft.devices/iothubs) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per l'hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per eventi live (microsoft.media/mediaservices/liveevents) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli eventi live (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per eventi live (microsoft.media/mediaservices/liveevents) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli eventi live (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli eventi live (microsoft.media/mediaservices/liveevents) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli eventi live (microsoft.media/mediaservices/liveevents). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per app per la logica (microsoft.logic/workflows) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le app per la logica (microsoft.logic/workflow). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per app per la logica (microsoft.logic/workflows) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le app per la logica (microsoft.logic/workflow). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per app per la logica (microsoft.logic/workflows) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le app per la logica (microsoft.logic/workflow). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per app CCF gestite (microsoft.confidentialledger/managedccfs) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le app CCF gestite (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per app CCF gestite (microsoft.confidentialledger/managedccfs) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le app CCF gestite (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per app CCF gestite (microsoft.confidentialledger/managedccfs) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le app CCF gestite (microsoft.confidentialledger/managedccfs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per database gestiti (microsoft.sql/managedinstances/databases) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i database gestiti (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per database gestiti (microsoft.sql/managedinstances/databases) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per database gestiti (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per database gestiti (microsoft.sql/managedinstances/databases) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i database gestiti (microsoft.sql/managedinstances/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio MedTech (microsoft.healthcareapis/workspaces/iotconnectors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un servizio Hub eventi per MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio MedTech (microsoft.healthcareapis/workspaces/iotconnectors) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio MedTech (microsoft.healthcareapis/workspaces/iotconnectors) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per il servizio MedTech (microsoft.healthcareapis/workspaces/iotconnectors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.autonomousdevelopmentplatform/workspaces in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.autonomousdevelopmentplatform/workspaces in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.autonomousdevelopmentplatform/workspaces in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.autonomousdevelopmentplatform/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.azuresphere/catalogs in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.azuresphere/catalogs in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.azuresphere/catalogs in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.azuresphere/catalogs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.cdn/cdnwebapplicationfirewallpolicies in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.cdn/cdnwebapplicationfirewallpolicies in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.cdn/cdnwebapplicationfirewallpolicies in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.cdn/cdnwebapplicationfirewallpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.classicnetwork/networksecuritygroups in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.classicnetwork/networksecuritygroups in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.classicnetwork/networksecuritygroups in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.classicnetwork/networksecuritygroups. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.community/communitytrainings a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.community/communitytrainings a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.community/communitytrainings in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.community/communitytrainings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.connectedcache/enterprisemcccustomers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.connectedcache/enterprisemcccustomers a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.connectedcache/enterprisemcccustomers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.connectedcache/enterprisemcccustomers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.customproviders/resourceproviders in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.customproviders/resourceproviders in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.customproviders/resourceproviders in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.customproviders/resourceproviders. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.d365customerinsights/instances in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.d365customerinsights/instances in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.d365customerinsights/instances in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.d365customerinsights/instances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbformysql/flexibleservers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbformysql/flexibleservers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbformysql/flexibleservers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbformysql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/flexibleservers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/flexibleservers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servergroupsv2 in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/servergroupsv2. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.dbforpostgresql/servers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.dbforpostgresql/servers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/cassandraclusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.documentdb/cassandraclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.documentdb/mongoclusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.documentdb/mongoclusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.insights/autoscalesettings in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.insights/autoscalesettings in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.insights/autoscalesettings in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.insights/autoscalesettings. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/registries in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/registries in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/registries in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.machinelearningservices/registries. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/workspaces/onlineendpoints in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/workspaces/onlineendpoints a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.machinelearningservices/workspaces/onlineendpoints in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.machinelearningservices/workspaces/onlineendpoints. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.managednetworkfabric/networkdevices in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.managednetworkfabric/networkdevices in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.managednetworkfabric/networkdevices in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.managednetworkfabric/networkdevices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.notificationhubs/namespaces/notificationhubs in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.notificationhubs/namespaces/notificationhubs in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.notificationhubs/namespaces/notificationhubs in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.notificationhubs/namespaces/notificationhubs. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.openplatform/energyservices in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.openintuneplatform/energyservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.openplatform/energyservices in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.openintuneplatform/energyservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.openplatform/energyservices in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.openintuneplatform/energyservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.powerbi/tenants/workspaces in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.powerbi/tenants/workspaces in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.powerbi/tenants/workspaces in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.powerbi/tenants/workspaces. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.servicenetworking/trafficcontrollers in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.servicenetworking/trafficcontrollers in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.servicenetworking/trafficcontrollers in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.servicenetworking/trafficcontrollers. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.synapse/workspaces/kustopools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.timeseriesinsights/environments. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments/eventsources in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments/eventsources in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.timeseriesinsights/environments/eventsources in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.timeseriesinsights/environments/eventsources. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.workloads/sapvirtualinstances in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.workloads/sapvirtualinstances in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.workloads/sapvirtualinstances in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.workloads/sapvirtualinstances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per manager di rete (microsoft.network/networkmanagers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Manager di rete (microsoft.network/networkmanagers) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gestori di rete (microsoft.network/networkmanagers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per spazi dei nomi dell'hub di notifica (microsoft.notificationhubs/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Playwright Testing (microsoft.azureplaywrightservice/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per il test Playwright (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il test Playwright (microsoft.azureplaywrightservice/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il test Playwright (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il test Playwright (microsoft.azureplaywrightservice/accounts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per il test Playwright (microsoft.azureplaywrightservice/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il server flessibile PostgreSQL (microsoft.dbforpostgresql/flexibleservers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il server flessibile di Database di Azure per PostgreSQL (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Power BI Embedded (microsoft.powerbidedicated/capacities) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Power BI Embedded (microsoft.powerbidedicated/capacities). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Power BI Embedded (microsoft.powerbidedicated/capacities) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Power BI Embedded (microsoft.powerbidedicated/capacities). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Power BI Embedded (microsoft.powerbidedicated/capacities) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Power BI Embedded (microsoft.powerbidedicated/capacities). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per indirizzi IP pubblici (microsoft.network/publicipaddresses) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli insiemi di credenziali di Servizi di ripristino (microsoft.recoveryservices/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per inoltri (microsoft.relay/namespaces) a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli inoltri (microsoft.relay/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per inoltri (microsoft.relay/namespaces) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli inoltri (microsoft.relay/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per inoltri (microsoft.relay/namespaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli inoltri (microsoft.relay/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i piani di ridimensionamento (microsoft.desktopvirtualization/scalingplans). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool SCOPE (microsoft.synapse/workspaces/scopepools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di ricerca (microsoft.search/searchservices) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di ricerca (microsoft.search/searchservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per spazi dei nomi del bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli spostamenti di archiviazione (microsoft.storagemover/storagemovers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i processi di Analisi di flusso (microsoft.streamanalytics/streamingjobs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint di streaming (microsoft.media/mediaservices/streamingendpoints) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli endpoint di streaming (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint di streaming (microsoft.media/mediaservices/streamingendpoints) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli endpoint di streaming (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per endpoint di streaming (microsoft.media/mediaservices/streamingendpoints) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli endpoint di streaming (microsoft.media/mediaservices/streamingendpoints). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Area di lavoro (microsoft.desktopvirtualization/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'area di lavoro Desktop virtuale Azure (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro (microsoft.desktopvirtualization/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le aree di lavoro (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro (microsoft.desktopvirtualization/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per aree di lavoro (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per aree di lavoro (microsoft.desktopvirtualization/workspaces) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le aree di lavoro (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Nei computer abilitati ad Arc Linux deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Linux Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i computer abilitati per Arc nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 1.2.0 |
| Nei set di scalabilità di macchine virtuali deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Linux devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i set di scalabilità di macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 3.3.0 |
| Nelle macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Linux devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla le macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 3.3.0 |
| L'estensione di Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali nell'elenco | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1 |
| Le aree di lavoro di Log Analytics devono bloccare l'inserimento del log e le relative query dalle reti pubbliche | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Le aree di lavoro Log Analytics dovrebbero bloccare l'inserimento non basato su Azure Active Directory. | Se si impone l'inserimento del log in modo da richiedere l'autenticazione Azure Active Directory, i log non autenticati di un utente malintenzionato potrebbero determinare uno stato non corretto, falsi avvisi e log non corretti memorizzati nel sistema. | Rifiutare, controllare, disabilitato | 1.0.0 |
| I log delle risorse degli indirizzi IP pubblici devono essere abilitati per la Protezione DDoS di Azure | Abilitare i log delle risorse per gli indirizzi IP pubblici nelle impostazioni di diagnostica per lo streaming in un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico di attacco e sulle azioni intraprese per mitigare gli attacchi DDoS tramite notifiche, report e log dei flussi. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse devono essere abilitati per il controllo sulle risorse supportate | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. L'esistenza di un'impostazione di diagnostica per il gruppo di categorie Audit nei tipi di risorse selezionati garantisce che questi log siano abilitati e acquisiti. I tipi di risorse applicabili sono quelli che supportano il gruppo di categorie "Audit". | AuditIfNotExists, Disabled | 1.0.0 |
| Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione Log Analytics legacy non deve essere installata nei server Linux abilitati per Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Linux abilitati per Azure Arc. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione Log analytics legacy non deve essere installata nei server Windows abilitati per Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Windows con abilitazione di Azure Arc. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione Log Analytics legacy non deve essere installata nei set di scalabilità di macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione Log Analytics legacy non deve essere installata nelle macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Linux. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Windows. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione Log analytics legacy non deve essere installata nelle macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Windows. Altre informazioni: https://aka.ms/migratetoAMA | Rifiutare, controllare, disabilitato | 1.0.0 |
| L'estensione di Log Analytics deve essere installata nei set di scalabilità di macchine virtuali | Questo criterio controlla i set di scalabilità di macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Le macchine virtuali devono essere connesse a un'area di lavoro specificata | Segnala le macchine virtuali come non conformi se non si connettono all'area di lavoro Log Analytics specificata nell'assegnazione dei criteri o dell'iniziativa. | AuditIfNotExists, Disabled | 1.1.0 |
| Le macchine virtuali devono avere installato l'estensione di Log Analytics | Questo criterio controlla le macchine virtuali Windows/Linux in cui non è installata l'estensione di Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Nei computer abilitati ad Arc Windows deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Windows Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I computer abilitati per Windows Arc nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 1.2.0 |
| Nei set di scalabilità di macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Windows devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I set di scalabilità di macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 3.2.0 |
| Nelle macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Windows devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Le macchine virtuali Windows con sistema operativo supportato e nelle aree supportate vengono monitorate per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview | AuditIfNotExists, Disabled | 3.2.0 |
| Le cartelle di lavoro devono essere salvate in account di archiviazione controllati | Con il modello Bring your own Storage (BYOS), le cartelle di lavoro vengono caricate in un account di archiviazione controllato dall'utente. Questo significa che è possibile controllare i criteri di crittografia dei dati inattivi, i criteri di gestione della durata e l'accesso alla rete. Si sarà tuttavia responsabili dei costi associati a tale account di archiviazione. Per altre informazioni, vedere https://aka.ms/workbooksByos | deny, Deny, audit, Audit, disabled, Disabled | 1.1.0 |
Rete
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Registro Container deve usare un endpoint servizio di rete virtuale | Questo criterio controlla i Registri Azure Container che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0-preview |
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| Il gateway applicazione di Azure deve essere distribuito con Azure WAF | Richiede che le risorse del gateway applicazione di Azure vengano distribuite con Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
| È necessario eseguire la migrazione delle regole classiche di Firewall di Azure a Criteri firewall | Eseguire la migrazione dalle regole classiche di Firewall di Azure ai criteri firewall per usare strumenti di gestione centralizzati, ad esempio Gestione firewall di Azure. | Audit, Deny, Disabled | 1.0.0 |
| L'analisi dei criteri di Firewall di Azure deve essere abilitata | L'abilitazione di Analisi dei criteri offre visibilità avanzata sul flusso del traffico attraverso Firewall di Azure, consentendo l'ottimizzazione della configurazione del firewall senza influire sulle prestazioni dell'applicazione | Audit, Disabled | 1.0.0 |
| Il Criterio firewall di Azure dovrebbe abilitare Intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| Criteri firewall di Azure deve disporre di un proxy DNS abilitato | Abilitando il Proxy DNS, i firewall di Azure associati a questo criterio saranno in ascolto sulla porta 53 e inoltreranno le richieste DNS al server DNS specificato sopra | Audit, Disabled | 1.0.0 |
| Firewall di Azure deve essere distribuito per estendersi su più zone di disponibilità | Per una maggiore possibilità, è consigliabile implementare il Firewall di Azure in modo da essere distribuito in più zone di disponibilità. In questo modo si garantisce che Firewall di Azure rimanga disponibile in caso di errore della zona. | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Standard - Le regole classiche devono abilitare l'intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Standard deve essere aggiornato a Premium per la protezione di nuova generazione | Se si sta cercando una protezione di nuova generazione, ad esempio IDPS e ispezione TLS, è consigliabile aggiornare Firewall di Azure allo SKU Premium. | Audit, Deny, Disabled | 1.0.0 |
| I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
| Web application firewall di Azure nel gateway applicazione di Azure deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che i web application firewall associati ai gateway applicazione di Azure dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure in Frontdoor di Azure deve avere l'ispezione del corpo della richiesta abilitata | Accertarsi che i Web Application Firewall associati ai Front Door di Azure dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| La protezione bot deve essere abilitata per WAF del gateway applicazione di Azure | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) del gateway applicazione di Azure | Audit, Deny, Disabled | 1.0.0 |
| La protezione bot deve essere abilitata per Frontdoor di Azure WAF | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) di Frontdoor di Azure | Audit, Deny, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di sicurezza di rete di Azure nell'area di lavoro di Log Analytics | Distribuire le impostazioni di diagnostica nei gruppi di sicurezza di rete di Azure per trasmettere i log delle risorse a un'area di lavoro di Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi specifici per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.2 |
| I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DeployIfNotExists, Disabled | 1.1.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Abilitare la regola limite di frequenza per proteggere da attacchi DDoS in Frontdoor di Azure WAF | La regola di limite di frequenza di Web application firewall (WAF) di Azure per Frontdoor di Azure controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Audit, Deny, Disabled | 1.0.0 |
| Gli hub eventi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli hub eventi che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | rifiutare | 1.0.0 |
| Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Eseguire la migrazione del WAF dalla configurazione WAF ai criteri WAF nel gateway applicazione | Se si dispone della configurazione WAF anziché dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. Se si imposta l'inoltro IP, il controllo dell'origine e della destinazione per un'interfaccia di rete eseguito in Azure viene disabilitato. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| I log dei flussi di Network Watcher devono avere abilitata l'analisi del traffico | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli indirizzi IP pubblici e i prefissi IP pubblici devono avere il tag FirstPartyUsage | Verificare che tutti gli indirizzi IP pubblici e i prefissi IP pubblici abbiano un tag FirstPartyUsage. | Audit, Deny, Disabled | 1.0.0 |
| I server SQL devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Le subnet devono essere private | Assicurarsi che le subnet siano protette per impostazione predefinita impedendo l'accesso in uscita predefinito. Per altre informazioni, passare a https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile che gli hub virtuali siano protetti con Firewall di Azure | Distribuire un firewall di Azure negli hub virtuali per proteggere e controllare in modo granulare il traffico internet in uscita e in ingresso. | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
| Le reti virtuali devono essere protette tramite Protezione DDoS di Azure | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Protezione DDoS di Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Portale
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dashboard condivisi non devono includere riquadri markdown con contenuto inline | Non consente la creazione di un dashboard condiviso con contenuto inline in riquadri di markdown e impone che il contenuto venga archiviato come file markdown ospitato online. Se si usa contenuto inline nel riquadro markdown, non sarà possibile gestire la crittografia del contenuto. Configurando una risorsa di archiviazione personalizzata, è possibile applicare la crittografia, la crittografia doppia e usare chiavi personalizzate (BYOK). L'abilitazione di questo criterio impone agli utenti di usare la versione 2020-09-01-preview o successiva delle API REST per i dashboard condivisi. | Audit, Deny, Disabled | 1.0.0 |
PostgreSQL
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server flessibili PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server flessibile PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| Il controllo con PgAudit deve essere abilitato per i server flessibili PostgreSQL | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente che non è abilitato per l'uso di pgaudit. | AuditIfNotExists, Disabled | 1.0.0 |
| La limitazione delle connessioni per i server flessibili PostgreSQL deve essere abilitata | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente senza la limitazione della connessione abilitata. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuire le impostazioni di diagnostica per i server flessibili PostgreSQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i server flessibili PostgreSQL per lo streaming in un'area di lavoro Log Analytics a livello di area quando vengono creati o aggiornati i server flessibili PostgreSQL che mancano queste impostazioni di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server flessibili PostgreSQL. | Questo criterio consente di controllare i server flessibili PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di server flessibili PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server flessibile di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server flessibile di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server flessibile PostgreSQL. | AuditIfNotExists, Disabled | 1.0.0 |
| Il backup con ridondanza geografica deve essere abilitato per i server flessibili di Azure per PostgreSQL | I server flessibili di Database di Azure per PostgreSQL consentono di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server flessibili di PostgreSQL | Questo criterio consente di controllare i server flessibili di PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server flessibili di PostgreSQL | Questo criterio consente di controllare i server flessibili di PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| I server flessibili PostgreSQL devono eseguire TLS versione 1.2 o successiva | Questo criterio consente di controllare tutti i server flessibili PostgreSQL nell'ambiente in esecuzione con la versione TLS precedente alla 1.2. | AuditIfNotExists, Disabled | 1.0.0 |
| I server flessibili PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server flessibili PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.1.0 |
| L'endpoint privato deve essere abilitato per i server flessibili PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.0 |
Resilienza
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il servizio Gestione API deve essere con ridondanza della zona | Il servizio Gestione API può essere configurato in modo da essere con ridondanza della zona o meno. Un servizio Gestione API è ridondante della zona se il nome sku è "Premium" e contiene almeno due voci nella matrice di zone. Questo criterio identifica i servizi gestione API privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: I piani di servizio app devono essere ridondanti della zona | I piani di servizio app possono essere configurati in modo da essere ridondanti della zona o meno. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un piano di servizio app, non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per i piani di servizio app. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I gateway applicazione devono essere resilienti per la zona | I gateway applicazione possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I gateway applicativi che hanno esattamente una voce nel loro array di zone sono considerati allineati alle zone. Al contrario, i gateway applicativi con 3 o più voci nell'array delle zone vengono riconosciuti come ridondanti. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il servizio di ricerca di intelligenza artificiale di Azure deve essere ridondante della zona | Il servizio di ricerca di intelligenza artificiale di Azure può essere configurato in modo che sia ridondante o meno della zona. Le zone di disponibilità vengono usate quando si aggiungono due o più repliche al servizio di ricerca. Ogni replica viene inserita in una zona di disponibilità diversa all'interno dell'area. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Cache Redis di Azure per Redis Enterprise & Flash deve essere con ridondanza della zona | Cache di Azure per Redis Enterprise & Flash può essere configurata in modo da essere ridondante o meno della zona. Le istanze di Cache Redis Enterprise e Flash di Azure con meno di 3 voci nella matrice di zone non sono ridondanti della zona. Questo criterio identifica le istanze di Cache Redis Enterprise e Flash di Azure senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Cache Redis di Azure deve essere con ridondanza della zona | Cache Redis di Azure può essere configurata in modo da essere con ridondanza della zona o meno. Le istanze di Cache Redis di Azure con meno di 2 voci nella matrice di zone non sono ridondanti della zona. Questo criterio identifica le istanze di Cache Redis di Azure senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster di Esplora dati di Azure devono essere ridondanti della zona | I cluster di Esplora dati di Azure possono essere configurati in modo che siano ridondanti o meno della zona. Un cluster di Esplora dati di Azure è considerato ridondante della zona se contiene almeno due voci nella matrice di zone. Questo criterio garantisce che i cluster di Esplora dati di Azure siano ridondanti della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il server flessibile di Database di Azure per MySQL deve essere resiliente alla zona | Il server flessibile di Database di Azure per MySQL può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Il server MySQL con un server di standby selezionato nella stessa zona per la disponibilità elevata è considerato allineato alla zona. Al contrario, il server MySQL con un server di standby selezionato per trovarsi in una zona diversa per la disponibilità elevata viene riconosciuto come ridondante della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il server flessibile di Database di Azure per PostgreSQL deve essere resiliente alla zona | Il server flessibile di Database di Azure per PostgreSQL può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Il server PostgreSQL con un server di standby selezionato nella stessa zona per la disponibilità elevata è considerato allineato alla zona. Al contrario, il server PostgreSQL con un server standby selezionato per trovarsi in una zona diversa per la disponibilità elevata viene riconosciuto come ridondante della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Azure HDInsight deve essere allineato alla zona | Azure HDInsight può essere configurato in modo che sia allineato o meno alla zona. Azure HDInsight con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un cluster Azure HDInsight sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster gestiti del servizio Azure Kubernetes devono essere ridondanti della zona | I cluster gestiti del servizio Azure Kubernetes possono essere configurati come ridondanti della zona o meno. I criteri controllano i pool di nodi nel cluster e assicurano che le zone di disponibilità siano impostate per tutti i pool di nodi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Grafana con gestione Azure deve essere con ridondanza della zona | Grafana con gestione Azure può essere configurato in modo da essere con ridondanza della zona o meno. Un'istanza di Grafana con gestione Azure è ridondante della zona è la proprietà "zoneRedundancy" impostata su "Abilitato". L'applicazione di questi criteri consente di assicurarsi che Grafana con gestione Azure sia configurato in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il backup e Site Recovery devono essere ridondanti della zona | Il backup e Site Recovery possono essere configurati in modo che siano ridondanti della zona o meno. Il backup e Site Recovery sono ridondanti della zona se la proprietà 'standardTierStorageRedundancy' è impostata su 'ZoneRedundant'. L'applicazione di questi criteri consente di garantire che Backup e Site Recovery siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di backup devono essere ridondanti della zona | Gli insiemi di credenziali di backup possono essere configurati come ridondanti della zona o meno. Gli insiemi di credenziali di backup sono ridondanti della zona se il tipo di impostazioni di archiviazione è impostato su "ZoneRedundant" e sono considerati resilienti. Gli insiemi di credenziali di backup con ridondanza geografica o con ridondanza locale non sono considerati resilienti. L'applicazione di questi criteri consente di garantire che gli insiemi di credenziali di backup siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: l'app contenitore deve essere con ridondanza della zona | L'app contenitore può essere configurata in modo che sia ridondante o meno della zona. Un'app contenitore è ridondante della zona se la proprietà "ZoneRedundant" dell'ambiente gestito è impostata su true. Questo criterio identifica che l'app contenitore non ha la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Le istanze di Contenitore devono essere allineate alla zona | Le istanze di Contenitore possono essere configurate in modo che siano allineate o meno alla zona. Vengono considerate allineate alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurate per operare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Registro Contenitori deve essere con ridondanza della zona | Il Registro Contenitori può essere configurato in modo che sia ridondante o meno della zona. Quando la proprietà zoneRedundancy per un registro contenitori è impostata su "Disabilitato", significa che il Registro di sistema non è ridondante della zona. L'applicazione di questi criteri consente di garantire che registro Contenitori sia configurato in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli account del database Cosmos devono essere con ridondanza della zona | Gli account del database Cosmos possono essere configurati in modo che siano ridondanti o meno della zona. Se 'enableMultipleWriteLocations' è impostato su 'true', tutte le posizioni devono avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. Se 'enableMultipleWriteLocations' è impostato su 'false', il percorso primario ('failoverPriority' impostato su 0) deve avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. L'applicazione di questi criteri garantisce che gli account del database Cosmos siano configurati in modo appropriato per la ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Hub eventi deve essere con ridondanza della zona | Hub eventi può essere configurato in modo che sia ridondante o meno della zona. Hub eventi è ridondante della zona se la proprietà "zoneRedundant" è impostata su "true". L'applicazione di questi criteri consente di garantire che gli Hub eventi siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi inattivi durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I firewall devono essere resilienti alla zona | I firewall possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I firewall che hanno esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i firewall con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i servizi di bilanciamento del carico devono essere resilienti per la zona | I servizi di bilanciamento del carico con uno SKU diverso da Basic ereditano la resilienza degli indirizzi IP pubblici nel front-end. Se combinato con i criteri "Indirizzi IP pubblici deve essere resiliente alla zona", questo approccio garantisce la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Managed Disks deve essere resiliente alla zona | I dischi gestiti possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I dischi gestiti con un'assegnazione di zona sono allineati alla zona. Managed Disks con un nome sku che termina con l'archiviazione con ridondanza della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza per Managed Disks. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il gateway NAT deve essere allineato alla zona | Il gateway NAT può essere configurato in modo che sia allineato o meno alla zona. Il gateway NAT con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un gateway NAT sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli indirizzi IP pubblici devono essere resilienti per la zona | Gli indirizzi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. Gli indirizzi IP pubblici a livello di area, con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, gli indirizzi IP pubblici a livello di area, con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I prefissi IP pubblici devono essere resilienti alla zona | I prefissi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I prefissi IP pubblici con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i prefissi IP pubblici con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: il bus di servizio deve essere ridondante della zona | Il bus di servizio può essere configurato in modo che sia ridondante o meno della zona. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un bus di servizio, significa che non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per le istanze del bus di servizio. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster di Service Fabric devono essere con ridondanza della zona | I cluster di Service Fabric possono essere configurati in modo da essere con ridondanza della zona o meno. I cluster Servicefabric i cui nodeType non hanno Zone di disponibilità multiple impostate su true non sono ridondanti della zona. Questo criterio identifica i cluster Servicefabric privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i database SQL devono essere con ridondanza della zona | I database SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I database con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurati per la ridondanza della zona. Questo criterio consente di identificare i database SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i pool di database elastici SQL devono essere con ridondanza della zona | I pool di database elastici SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I pool di database elastici SQL sono con ridondanza della zona se la proprietà 'zoneRedundant' è impostata su 'true'. L'applicazione di questi criteri consente di garantire che gli Hub eventi siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi inattivi durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: le Istanze gestite di SQL devono essere con ridondanza della zona | Le istanze gestite di SQL possono essere configurate in modo da essere con ridondanza della zona o meno. Le istanze con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurate per la ridondanza della zona. Questo criterio consente di identificare le istanze gestite di SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli account di archiviazione devono essere ridondanti della zona | Gli account di archiviazione possono essere configurati in modo che siano ridondanti della zona o meno. Se il nome dello SKU di un account di archiviazione non termina con "ZRS" o il relativo tipo è "Archiviazione", non è ridondante della zona. Questo criterio garantisce che gli account di archiviazione usino una configurazione con ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I set di scalabilità di macchine virtuali devono essere resilienti alla zona | I set di scalabilità di macchine virtuali possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I set di scalabilità di macchine virtuali con esattamente una voce nella matrice di zone vengono considerati allineati alla zona. Al contrario, i set di scalabilità di macchine virtuali con 3 o più voci nella matrice di zone e una capacità di almeno 3 vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali devono essere allineate alla zona | Le macchine virtuali possono essere configurate in modo che siano allineate o meno alla zona. Vengono considerate allineate alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurate per operare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I gateway di rete virtuale devono essere ridondanti della zona | I gateway di rete virtuale possono essere configurati in modo che siano ridondanti o meno della zona. I gateway di rete virtuale il cui nome o livello SKU non termina con "AZ" non sono ridondanti della zona. Questo criterio identifica i gateway di rete virtuale privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
Ricerca
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il servizio Ricerca cognitiva di Azure deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di Ricerca cognitiva di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione del servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Per i servizi di Ricerca cognitiva di Azure i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che il servizio di Ricerca cognitiva di Azure richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. Si noti che mentre il parametro di disabilitazione dell'autenticazione locale è ancora in anteprima, l'effetto di negazione per questo criterio può comportare funzionalità limitate del portale di Ricerca cognitiva di Azure poiché alcune funzionalità del portale usano l'API GA che non supporta il parametro. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di Ricerca cognitiva di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nei servizi di Ricerca cognitiva di Azure offre un controllo aggiuntivo sulla chiave usata per crittografare i dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali per gestire le chiavi di crittografia dei dati usando un insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Configurare i servizi di Ricerca cognitiva di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i servizi di Ricerca cognitiva di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. | Modifica, disattivato | 1.0.0 |
| Configura i servizi di Ricerca cognitiva di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il servizio Ricerca cognitiva di Azure in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modifica, disattivato | 1.0.0 |
| Configura servizi di Ricerca cognitiva di Azure per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Ricerca cognitiva di Azure. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configura servizi di Ricerca cognitiva di Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al servizio Ricerca cognitiva di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Centro sicurezza
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Linux Arc | Installare l'agente di sicurezza di Azure nei computer Linux Arc per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nei set di scalabilità di macchine virtuali Linux | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Linux | Installare l'agente di sicurezza di Azure nelle macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Windows Arc | Installare l'agente di sicurezza di Azure nei computer Windows Arc per monitorare le configurazioni di sicurezza e le vulnerabilità dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nei set di scalabilità di macchine virtuali Windows | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: È consigliabile installare l'agente di Sicurezza di Azure nelle macchine virtuali Windows | Installare l'agente di sicurezza di Azure nelle macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nel computer Linux Arc | Installare l'estensione ChangeTracking nei computer Linux Arc per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Linux | Installare l'estensione ChangeTracking in macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare Monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nel computer Arc di Windows | Installare l'estensione ChangeTracking nei computer Windows Arc per abilitare monitoraggio dell'integrità dei file (FIM) nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Windows | Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nel set di scalabilità di macchine virtuali Windows | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'agente di Azure Defender per SQL nella macchina virtuale | Configurare i computer Windows per installare automaticamente l'agente di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configura l’estensione ChangeTracking per i computer Arc di Linux | Configurare i computer Linux Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux | Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Linux | Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l’estensione ChangeTracking per i computer Arc Windows | Configurare i computer Windows Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows | Configurare i set di scalabilità di macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l’estensione ChangeTracking per le macchine virtuali Windows | Configurare le macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file nel Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Linux Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Linux Arc di destinazione devono trovarsi in un percorso supportato. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per l'installazione automatica dell'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Linux supportati per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 6.1.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 5.0.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Linux supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 7.0.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 7.1.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM | Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Windows Arc supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Windows Arc di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per l'installazione automatica dell'agente di sicurezza di Azure | Configurare le macchine virtuali Windows supportate per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 5.1.0-anteprima |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per l'installazione automatica dell'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Windows supportati per l'installazione automatica dell'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I set di scalabilità di macchine virtuali Windows di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 4.1.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 5.1.0-anteprima |
| [Anteprima]: Configurare le macchine virtuali create con immagini della raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con le immagini della Raccolta immagini condivise per installare automaticamente l'estensione Attestazione guest per consentire a Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali creati con le immagini della Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con le immagini della Raccolta immagini condivise per installare automaticamente l'estensione Attestazione guest per consentire a Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Consente di distribuire l'agente di Microsoft Defender per endpoint nei computer Linux ibridi | Distribuisce l'agente di Microsoft Defender per endpoint nei computer Linux ibridi | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: Distribuire l'agente di Microsoft Defender per endpoint in macchine virtuali Linux | Distribuisce l'agente di Microsoft Defender per endpoint nelle immagini delle macchine virtuali Linux applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Distribuire l'agente di Microsoft Defender per endpoint in computer Windows Azure Arc | Distribuisce Microsoft Defender per endpoint nei computer Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: Consente di distribuire l'agente di Microsoft Defender per endpoint nelle macchine virtuali Windows | Distribuisce Microsoft Defender per endpoint nelle immagini delle macchine virtuali Windows applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 6.0.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali Linux supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 5.1.0-anteprima |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Windows supportate | Installare l'estensione di attestazione guest nelle macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Windows supportate | Installare l'estensione di attestazione guest su set di scalabilità di macchine virtuali supportate per consentire al Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a set di scalabilità di macchine virtuali Windows riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 3.1.0-anteprima |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender for Cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto | Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [anteprima]: Le porte che potrebbero esporre i computer a vettori di attacco devono essere chiuse | Le Condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'avvio protetto deve essere abilitato sulle macchine virtuali Windows supportate | Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Windows riservate e di avvio attendibile. | Audit, Disabled | 4.0.0-preview |
| [Anteprima]: lo stato dell'attestazione guest delle macchine virtuali deve essere integro | L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Audit, Disabled | 2.0.0-preview |
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Per gli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli endpoint API in API Management di Azure devono essere autenticati | Gli endpoint API pubblicati in Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://video2.skills-academy.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio API Management di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma che potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Protezione DDoS di Azure deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i database relazionali open source deve essere abilitato | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Ulteriori informazioni sulle funzionalità di Defender di Azure per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 1.0.0 |
| Le immagini del registro contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists, Disabled | 1.0.1 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli account bloccati con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di scrittura e lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Le istanze di ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro | Proteggere le istanze di ruolo Servizio cloud (supporto esteso) da attacchi, verificando che non siano esposte a vulnerabilità del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le istanze di ruolo Servizi cloud (supporto esteso) dovrebbe essere installata una soluzione di protezione degli endpoint | Proteggere le istanze di ruolo Servizi cloud (supporto esteso) da minacce e vulnerabilità garantendo l'installazione di una soluzione di protezione degli endpoint in queste istanze. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le istanze di ruolo Servizi cloud (supporto esteso) devono essere installati gli aggiornamenti di sistema | Proteggere le istanze di ruolo Servizi cloud (supporto esteso) assicurandosi che in queste istanze siano installati gli aggiornamenti critici e di sicurezza più recenti. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server flessibili di Database MySQL di Azure | Abilitare Advanced Threat Protection nel database di Azure per i server flessibili MySQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server flessibili di Database PostgreSQL di Azure | Abilitare Advanced Threat Protection nel database di Azure per i server flessibili PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei server SQL abilitati per Windows Arc. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL | Configurare SQL Server abilitati per Windows Arc per installare automaticamente Microsoft Defender per SQL Agent. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.5.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.7.0 |
| Configurare SQL Server abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR | Configurare l'associazione tra SQL Server abilitati per Arc e Microsoft Defender per SQL DCR. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare SQL Servers abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR definito dall'utente | Configurare l'associazione tra SQL Servers con abilitazione per Arc e Il DCR definito dall'utente di Microsoft Defender per SQL. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare Azure Defender per i servizi app da abilitare | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server di database SQL di Azure da abilitare | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i database relazionali open source da abilitare | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Ulteriori informazioni sulle funzionalità di Defender di Azure per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per Resource Manager per l'abilitazione | Azure Defender per Resource Manager monitora automaticamente tutte le operazioni di gestione risorse eseguite nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager. L'abilitazione di questo piano di Azure Defender comporta degli addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Azure Defender per i server da abilitare | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server SQL nelle macchine virtuali da abilitare) | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Microsoft Defender per Archiviazione di base per l'abilitazione (solo monitoraggio attività) | Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà le funzionalità di base di Defender per l'archiviazione (monitoraggio attività). Per abilitare la protezione completa, che include anche l'analisi malware on-upload e il rilevamento delle minacce sensibili, usare i criteri di abilitazione completi: aka.ms/DefenderForStoragePolicy. Per ulteriori informazioni sulle funzionalità e sui vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non lo hanno già installato. | DeployIfNotExists, Disabled | 4.0.0 |
| Configurare il piano CSPM di Microsoft Defender | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender CSPM per l'abilitazione | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Azure Cosmos DB per l'abilitazione | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per contenitori | Le nuove funzionalità vengono aggiunte continuamente al piano Defender per contenitori, che potrebbe richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per contenitori da abilitare | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP_EXCLUDE_LINUX_...), per abilitare il provisioning automatico di MDE per i server Linux. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP_UNIFIED_SOLUTION), per abilitare il provisioning automatico di MDE Unified Agent per Windows Server 2012R2 e 2016. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender for Cloud (WDATP) | Configura le impostazioni di integrazione di Microsoft Defender per endpoint, all'interno di Microsoft Defender for Cloud (noto anche come WDATP), per i computer Windows di livello inferiore di cui è stato eseguito l'onboarding in MDE tramite MMA e il provisioning automatico di MDE in Windows Server 2019 , Desktop virtuale Windows e versioni successive. Deve essere attivato affinché le altre impostazioni (WDATP_UNIFIED e così via) funzionino. Per altre informazioni, vedere https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per Key Vault | Microsoft Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare il piano di Microsoft Defender per server | Le nuove funzionalità vengono aggiunte continuamente a Defender per server, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per SQL per l'abilitazione nelle aree di lavoro di Synapse | Abilitare Microsoft Defender per SQL nelle aree di lavoro di Azure Synapse per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database SQL. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per Archiviazione (versione classica) per l'abilitazione | Microsoft Defender per Archiviazione (versione classica) offre il rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Archiviazione per l'abilitazione | Microsoft Defender per Archiviazione è un livello nativo di Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà tutte le funzionalità di Defender for Storage; Monitoraggio delle attività, analisi malware e rilevamento delle minacce per i dati sensibili. Per ulteriori informazioni sulle funzionalità e sui vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare macchine virtuali SQL per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali SQL Windows. Altre informazioni: https://aka.ms/AMAOverview | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL | Configurare macchine virtuali SQL Windows per installare automaticamente l'estensione Microsoft Defender per SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.6.0 |
| Configurare macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.7.0 |
| Configurare l'area di lavoro Microsoft Defender per SQL Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.3.0 |
| Creare e assegnare un'identità gestita assegnata dall'utente predefinita | Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.6.0 |
| Distribuisci/Configura regole di eliminazione per gli avvisi del Centro sicurezza di Azure | Consente di eliminare gli avvisi del Centro sicurezza di Azure per ridurre il numero eccessivo di avvisi mediante la distribuzione di regole di eliminazione nel gruppo di gestione o nella sottoscrizione. | deployIfNotExists | 1.0.0 |
| Distribuire l'esportazione in Hub eventi come servizio attendibile per i dati di Microsoft Defender per il cloud | Abilitare l'esportazione in Hub eventi come servizio attendibile dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione in Event Hub come configurazione di servizio attendibile con le condizioni e l'Event Hub di destinazione sull'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire l'esportazione nell'hub eventi per i dati di Microsoft Defender per cloud | Abilitare l'esportazione nell'hub eventi dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'hub eventi con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.2.0 |
| Distribuire l'esportazione nell'area di lavoro Log Analytics per i dati di Microsoft Defender per cloud | Abilitare l'esportazione nell'area di lavoro Log Analytics dei dati di Microsoft Defender for Cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'area di lavoro Log Analytics con le condizioni e l'area di lavoro di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.1.0 |
| Distribuire l'automazione del flusso di lavoro per gli avvisi di Microsoft Defender for Cloud | Abilitare l'automazione degli avvisi di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire l'automazione del flusso di lavoro per i consigli di Microsoft Defender for Cloud | Abilitare l'automazione delle raccomandazioni di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire l'automazione del flusso di lavoro per la conformità alle normative di Microsoft Defender per il cloud | Abilitare l'automazione della conformità alle normative di Microsoft Defender for Cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Abilitare Microsoft Defender per il cloud nelle sottoscrizioni | Identifica le sottoscrizioni esistenti che non vengono monitorate da Microsoft Defender for Cloud e le protegge con le funzionalità gratuite di Defender for Cloud. Le sottoscrizioni già monitorate verranno considerate conformi. Per registrare le sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 1.0.1 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro personalizzata. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite un'area di lavoro personalizzata. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro predefinita. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite l'area di lavoro predefinita del Centro sicurezza di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilitare la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale | La protezione dalle minacce Microsoft per i carichi di lavoro di intelligenza artificiale fornisce avvisi di sicurezza contestualizzati basati sulle prove per proteggere le applicazioni basate su intelligenza artificiale generative di casa | DeployIfNotExists, Disabled | 1.0.0 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Le soluzioni Endpoint Protection supportate dal Centro sicurezza di Azure sono documentate qui: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account guest con autorizzazioni di proprietario nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura nelle risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nelle istanze di ruolo Servizi cloud (supporto esteso) | Centro sicurezza raccoglie i dati dalle istanze di ruolo Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| È necessario che i risultati per i segreti delle macchine virtuali siano risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | AuditIfNotExists, Disabled | 1.0.2 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud è disponibile anche Defender CSPM. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per le API deve essere abilitato | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati sulle API e le configurazioni errate della sicurezza. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender per Azure Cosmos DB deve essere abilitato | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione della vulnerabilità e protezione in fase di esecuzione per gli ambienti Kubernetes Azure, ibrido e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists, Disabled | 1.0.0 |
| Lo stato di Microsoft Defender per SQL deve essere protetto per i server SQL con abilitazione per Arc | Microsoft Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e nel server SQL per garantire una protezione attiva. | Audit, Disabled | 1.0.1 |
| Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per archiviazione rileva potenziali minacce per gli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano di Defender per archiviazione include l'analisi del malware e il rilevamento delle minacce per i dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Nei servizi Kubernetes deve essere usato il controllo degli accessi in base al ruolo | Per garantire un filtro granulare per le azioni che gli utenti possono eseguire, usare il controllo degli accessi in base al ruolo per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.4 |
| È consigliabile selezionare il piano tariffario Standard del Centro sicurezza | Il piano tariffario Standard consente il rilevamento delle minacce per reti e macchine virtuali e fornisce informazioni sulle minacce, rilevamento delle anomalie e analisi del comportamento nel Centro sicurezza di Azure | Audit, Disabled | 1.1.0 |
| Configurare le sottoscrizioni per la transizione a una soluzione di valutazione della vulnerabilità alternativa | Microsoft Defender per il cloud offre l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. L'abilitazione di questo criterio farà in modo che Defender per il cloud propaghi automaticamente i risultati dalla soluzione di gestione delle vulnerabilità di Microsoft Defender incorporata a tutti i computer supportati. | DeployIfNotExists, Disabled | 1.0.0-preview |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Il provisioning automatico di destinazione di SQL Server deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Altre informazioni: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
| Gli aggiornamenti di sistema devono essere installati nei computer (con tecnologia Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists, Disabled | 1.0.1 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio saranno non conformi se l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
Centro sicurezza - Prezzi granulari
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare Azure Defender per server da disabilitare per tutte le risorse (livello di risorsa) | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da disabilitare per le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori di tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
Bus di servizio
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile rimuovere tutte le regole di autorizzazione ad eccezione di RootManageSharedAccessKey dallo spazio dei nomi del bus di servizio | I client del bus di servizio non devono usare un criterio di accesso a livello di spazio dei nomi che assicura l'accesso a tutte le code e gli argomenti in uno spazio dei nomi. Per essere conformi al modello di sicurezza basato su privilegi minimi, è consigliabile creare criteri di accesso a livello di entità per code e argomenti in modo da fornire l'accesso solo all'entità specifica | Audit, Deny, Disabled | 1.0.1 |
| Per gli spazi dei nomi del bus di servizio di Azure i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi del bus di servizio di Azure richiedano esclusivamente identità Microsoft Entra ID per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Audit, Deny, Disabled | 1.0.1 |
| Gli spazi dei nomi del bus di servizio devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi del bus di servizio di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi di Azure ServiceBus richiedano esclusivamente le identità di Microsoft Entra ID per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Modifica, disattivato | 1.0.1 |
| Configurare gli spazi dei nomi del bus di servizio per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi del bus di servizio. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi del bus di servizio con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli spazi dei nomi del bus di servizio, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| I log delle risorse devono essere abilitati nel bus di servizio | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Gli spazi dei nomi dei bus di servizio devono disabilitare l'accesso alla rete pubblica | Il bus di servizio di Azure deve avere l'accesso alla rete pubblica disabilitato. La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
| Gli spazi dei nomi del bus di servizio dovrebbero avere la crittografia doppia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi Premium del bus di servizio devono usare una chiave gestita dal cliente per la crittografia | Il bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che il bus di servizio userà per crittografare i dati nello spazio dei nomi. Si noti che il bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Audit, Disabled | 1.0.0 |
Service Fabric
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
SignalR
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il Servizio Azure SignalR deve disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza della risorsa Servizio SignaIR di Azure, accertarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/asrs/networkacls. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.1.0 |
| Il Servizio Azure SignalR deve abilitare i log di diagnostica | Controlla l'abilitazione dei log di diagnostica consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Servizio Azure SignalR deve avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che il Servizio Azure SignalR richieda esclusivamente le entità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Il Servizio Azure SignalR deve usare uno SKU abilitato per collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione che proteggono le risorse dai rischi di perdita di dati pubblici. I criteri limitano gli SKU abilitati per il collegamento privato per il servizio Azure SignalR. Per altre informazioni sul collegamento privato, vedere: https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa del servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Configurare il servizio Azure SignalR per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locali in modo che il Servizio Azure SignalR richieda esclusivamente identità Azure Active Directory per l'autenticazione. | Modifica, disattivato | 1.0.0 |
| Configura connessioni endpoint privato nel Servizio Azure SignalR | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle risorse del servizio Azure SignalR, è possibile ridurre i rischi di perdita dei dati. Per ulteriori informazioni, vedi https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare zone private DNS per gli endpoint privati che si connettono al Servizio Azure SignalR | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere la risorsa del servizio Azure SignalR. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificare le risorse del servizio Azure SignalR per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza della risorsa Servizio SignaIR di Azure, accertarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/asrs/networkacls. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modifica, disattivato | 1.1.0 |
Site Recovery
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per la risoluzione in Insiemi di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [anteprima]: Configurare endpoint privati in insiemi di credenziali di Servizi di ripristino di Azure | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di site recovery degli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Per usare collegamenti privati, l'identità del servizio gestito deve essere assegnata agli insiemi di credenziali di Servizi di ripristino. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati per Azure Site Recovery sono disponibili in: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
SQL
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Il server flessibile di Azure PostgreSQL deve avere l'autenticazione solo Entra di Microsoft abilitata | Disabilitando i metodi di autenticazione locale e consentendo solo l'autenticazione di Microsoft Entra, è possibile garantire che il server flessibile di Azure PostgreSQL sia accessibile esclusivamente dalle identità di Microsoft Entra. | Audit, Disabled | 1.0.0-preview |
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server MySQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server MySQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.1.1 |
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Per il server flessibile di Azure MySQL deve essere abilitata l'autenticazione solo Entra di Microsoft | La disabilitazione dei metodi di autenticazione locale e la possibilità di consentire solo l'autenticazione di Microsoft Entra migliora la sicurezza assicurando che il server flessibile di Azure MySQL possa accedere esclusivamente alle identità di Microsoft Entra. | AuditIfNotExists, Disabled | 1.0.1 |
| Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | Impostando la versione di TLS su 1.2 o successive, è possibile migliorare la sicurezza e garantire che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versioni successive. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled, Deny | 2.0.0 |
| Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere ai server logici Azure SQL di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere la creazione di server logici Azure SQL con l'autenticazione solo su Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| L’Istanza gestita di SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere all'Istanza gestita di SQL di Azure di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione di istanze gestite di SQL di Azure con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Istanze gestite di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sull'accesso alla rete pubblica, visitare https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Le Istanze gestite di SQL di Azure devono avere l'autenticazione solo Microsoft Entra abilitata | Richiedere la creazione dell'Istanza gestita di SQL di Azure con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server Database di Azure per MariaDB | Abilitare Advanced Threat Protection nel database di Azure che non è livello Basic per i server MariaDB per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server di Database MySQL di Azure | Abilitare Advanced Threat Protection nel database di Azure che non è livello Basic non di livello base per i server MySQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server Database PostgreSQL di Azure | Abilitare Advanced Threat Protection nei server di Azure di livello non Basic per PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Azure Defender affinché sia abilitato nelle Istanze gestite di SQL | Abilitare Azure Defender sulle Istanze gestite di SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare Azure Defender affinché sia abilitato sui server SQL | Abilitare Azure Defender sui Server SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists | 2.1.0 |
| Configurare le impostazioni di diagnostica per i server di database SQL di Azure nell'area di lavoro Log Analytics | Abilitare i log di controllo per i server di database SQL di Azure e trasmettere i log a un'area di lavoro Log Analytics quando viene creato o aggiornato uno dei server SQL mancanti | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che sia possibile accedere a SQL Server di Azure solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i database in Azure SQL Server. | Modificare, Disabilitata | 1.0.0 |
| Configurare Azure SQL Server per abilitare le connessioni dell'endpoint privato | Una connessione all'endpoint privato consente la connettività privata al database SQL di Azure tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora la postura di sicurezza e supporta gli strumenti e gli scenari di rete di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i server SQL per l'abilitazione del controllo | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 3.0.0 |
| Configurare i server SQL per l'abilitazione del controllo all'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
| La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata | Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuisci - Configurare le impostazioni di diagnostica per i database SQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i database SQL per lo streaming di log di risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un database SQL in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 4.0.0 |
| Distribuisci Sicurezza dei dati avanzata nei server SQL | Questo criterio abilita Sicurezza dei dati avanzata nei server SQL. Include l'attivazione del rilevamento delle minacce e della valutazione delle vulnerabilità. Verrà creato automaticamente un account di archiviazione nella stessa area e nello stesso gruppo di risorse del server SQL per archiviare i risultati dell'analisi, con prefisso 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Distribuisci le impostazioni di diagnostica per il database SQL di Azure nell'hub eventi | Distribuisce le impostazioni di diagnostica per il database SQL di Azure per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un database SQL di Azure in cui manca questa impostazione di diagnostica. | DeployIfNotExists | 1.2.0 |
| Distribuisci Transparent Data Encryption nel database SQL | Abilita Transparent Data Encryption nei database SQL | DeployIfNotExists, Disabled | 2.2.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione della durata deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_duration non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
| I server MariaDB devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MariaDB, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MariaDB dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server MySQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MySQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MySQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server MySQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| I server PostgreSQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per PostgreSQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per PostgreSQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili MySQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP. | Audit, Deny, Disabled | 3.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
| Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata | AuditIfNotExists, Disabled | 1.0.0 |
| I database SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | I database devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
| Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | Impostando la versione minima di TLS su 1.2 è possibile migliorare la sicurezza e garantire che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled | 1.0.1 |
| Le istanze gestite di SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | Le istanze gestite devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
| I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
| La regola del firewall basata su rete virtuale nel database SQL di Azure deve essere abilitata per consentire il traffico dalla subnet specificata | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database SQL di Azure, garantendo al contempo che il traffico rimanga entro il limite di Azure. | AuditIfNotExists | 1.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Istanza gestita di SQL
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La crittografia della chiave gestita dal cliente deve essere usata come parte della crittografia della chiave gestita dal cliente per le istanze gestite di ARC SQL. | Come parte della crittografia della chiave gestita dal cliente, è necessario usare la crittografia della chiave gestita dal cliente. Per ulteriori informazioni, vedi https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
| Il protocollo TLS 1.2 deve essere usato per le istanze gestite di SQL Arc. | Come parte delle impostazioni di rete, Microsoft consiglia di consentire solo TLS 1.2 per i protocolli TLS in SQL Server. Per altre informazioni sulle impostazioni di rete per SQL Server, vedere https://aka.ms/TlsSettingsSQLServer. | Audit, Disabled | 1.0.0 |
| Transparent Data Encryption deve essere abilitato per le istanze gestite di Arc SQL. | Abilitare Transparent Data Encryption (TDE) inattivi in un'istanza gestita di SQL abilitata per Azure Arc. Per ulteriori informazioni, vedi https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
SQL Server
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Abilitare l'identità assegnata dal sistema alla macchina virtuale SQL | Abilitare l'identità assegnata dal sistema su larga scala alle macchine virtuali SQL. È necessario assegnare questo criterio a livello di sottoscrizione. L'assegnazione a livello di gruppo di risorse non funzionerà come previsto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configurare i server abilitati per Arc con l'estensione SQL Server installata per abilitare o disabilitare la valutazione delle procedure consigliate per SQL. | Abilitare o disabilitare la valutazione delle procedure consigliate SQL nelle istanze di SQL Server nei server abilitati per Arc per valutare le procedure consigliate. Per ulteriori informazioni, vedi https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Sottoscrivere istanze di SQL Server abilitate per Arc idonee per gli aggiornamenti della sicurezza estesi. | Sottoscrivere istanze di SQL Server abilitate per Arc idonee con tipo di licenza impostato su Pagamento o Pagamento in base al consumo per gli aggiornamenti della sicurezza estesi. Altre informazioni sugli aggiornamenti della sicurezza estesi https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I server Azure Stack HCI devono avere criteri di controllo delle applicazioni applicati in modo coerente | Applicare almeno il criterio di base Microsoft WDAC in modalità applicata in tutti i server Azure Stack HCI. I criteri Windows Defender Application Control (WDAC) applicati devono essere coerenti tra server nello stesso cluster. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: I server Azure Stack HCI devono soddisfare i requisiti di memoria centrale protetta | Assicurarsi che tutti i server Azure Stack HCI soddisfino i requisiti di memoria centrale protetta. Per abilitare i requisiti del server di memoria centrale protetta: 1. Nella pagina Cluster Azure Stack HCI passare a Windows Admin Center e selezionare Connetti. 2. Passare all'estensione Sicurezza e selezionare memoria centrale protetta (Secured-core). 3. Selezionare qualsiasi impostazione non abilitata e fare clic su Abilita. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: I sistemi Azure Stack HCI devono avere volumi crittografati | Usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: La rete host e VM deve essere protetta nei sistemi Azure Stack HCI | Proteggere i dati nella rete host di Azure Stack HCI e nelle connessioni di rete delle macchine virtuali. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
Storage
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: L'accesso pubblico agli account di archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-anteprima |
| Sincronizzazione file di Azure deve usare collegamenti privati | La creazione di un endpoint privato per la risorsa Servizio di sincronizzazione archiviazione indicata consente di indirizzare la risorsa Servizio di sincronizzazione archiviazione dallo spazio indirizzi IP privati della rete dell'organizzazione, anziché attraverso l'endpoint pubblico accessibile tramite Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| I volumi SMB di Azure NetApp Files devono usare la crittografia SMB3 | Non consentire la creazione di volumi SMB senza crittografia SMB3 per garantire l'integrità dei dati e la privacy dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files di tipo NFSv4.1 devono usare la crittografia dei dati Kerberos | Consentire solo l'utilizzo della modalità di sicurezza della privacy Kerberos (5p) per garantire che i dati siano crittografati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files di tipo NFSv4.1 devono usare l'integrità dei dati o la privacy dei dati Kerberos | Assicurarsi che sia selezionata almeno l'integrità Kerberos (krb5i) o la privacy Kerberos (krb5p) per garantire l'integrità dei dati e la privacy dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files non devono usare il tipo di protocollo NFSv3 | Non consentire l'uso del tipo di protocollo NFSv3 per impedire l'accesso non sicuro ai volumi. NFSv4.1 con protocollo Kerberos deve essere usato per accedere ai volumi NFS per garantire l'integrità e la crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob_secondario | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob_secondario. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID file | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID file. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID coda | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID coda. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID queue_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID queue_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID tabella | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID tabella. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID table_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID table_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Sincronizzazione file di Azure per usare zone private DNS | Per accedere agli endpoint privati per le interfacce delle risorse del servizio di sincronizzazione archiviazione da un server registrato, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record A e zona DNS privato di Azure necessari per le interfacce degli endpoint privati del servizio di sincronizzazione archiviazione. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DeployIfNotExists, Disabled | 1.0.0 |
| Configura le impostazioni di diagnostica per i servizi BLOB nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi BLOB per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio BLOB in cui manca questa impostazione di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configura le impostazioni di diagnostica per i servizi file nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi file per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio file in cui manca questa impostazione di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configura le impostazioni di diagnostica per i servizi di accodamento nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di accodamento per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio di accodamento in cui manca questa impostazione di diagnostica. Nota: questo criterio non viene attivato al momento della creazione dell'account di archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurare le impostazioni di diagnostica per gli account di archiviazione nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per gli account di archiviazione per lo streaming dei log delle risrse in un'area di lavoro Log Analytics quando viene creato o aggiornato un account di archiviazione in cui manca questa impostazione di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurare le impostazioni di diagnostica per i servizi tabelle nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi tabelle per lo streaming dei log delle risorse in un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio tabelle in cui manca questa impostazione di diagnostica. Nota: questo criterio non viene attivato al momento della creazione dell'account di archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurare il trasferimento sicuro dei dati in un account di archiviazione | Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modifica, disattivato | 1.0.0 |
| Configura l'account di archiviazione per usare una connessione collegamento privato | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account di archiviazione, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account di archiviazione per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di archiviazione, accertarsi che non siano esposti alla rete Internet pubblica e che siano accessibili solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modifica, disattivato | 1.0.1 |
| Configurare l'accesso pubblico all'account di archiviazione in modo che non sia autorizzato | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | Modifica, disattivato | 1.0.0 |
| Configurare l'account di archiviazione per abilitare il controllo delle versioni blob | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. | Audit, Deny, Disabled | 1.0.0 |
| Distribuire Defender per Archiviazione (versione classica) in account di archiviazione | Questo criterio abilita Defender per l'archiviazione (versione classica) sugli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.1 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usa la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
| Gli account Cache HPC devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Cache HPC di Azure con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
| Modificare - Configurare la Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet di Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione archiviazione tramite gli endpoint privati. | Modifica, disattivato | 1.0.0 |
| Modificare - Configurare l'account di archiviazione per abilitare il controllo delle versioni dei BLOB | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. Si noti che gli account di archiviazione esistenti non verranno modificati per abilitare il controllo delle versioni dell'archiviazione BLOB. Solo gli account di archiviazione appena creati avranno il controllo delle versioni dell'archiviazione BLOB abilitato | Modifica, disattivato | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione archiviazione alle richieste destinate agli endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
| L'Archiviazione code deve usare la chiave gestita dal cliente per la crittografia | È possibile proteggere l’Archiviazione code con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| Gli ambiti della crittografia dell'account di archiviazione devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Gli ambiti di crittografia degli account di archiviazione devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi degli ambiti di crittografia dell'account di archiviazione per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| Le chiavi degli account di archiviazione non devono essere scadute | Assicurarsi che le chiavi degli account di archiviazione utente non siano scadute quando viene impostato il criterio di scadenza delle chiavi, per migliorare la sicurezza delle chiavi account intervenendo quando le chiavi sono scadute. | Audit, Deny, Disabled | 3.0.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono essere limitati agli SKU consentiti | Limita il set di SKU di account di archiviazione che possono essere distribuiti dall'organizzazione. | Audit, Deny, Disabled | 1.1.0 |
| È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di archiviazione, accertarsi che non siano esposti alla rete Internet pubblica e che siano accessibili solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o la rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.1 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| Per gli account di archiviazione devono essere configurati i criteri di firma di accesso condiviso | Verificare che gli account di archiviazione dispongano di criteri di scadenza della firma di accesso condiviso (SAS) abilitati. Gli utenti usano una firma di accesso condiviso per delegare l'accesso alle risorse nell'account di archiviazione di Azure. I criteri di scadenza della firma di accesso condiviso consigliano un limite di scadenza superiore quando un utente crea un token di firma di accesso condiviso. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account di archiviazione. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono impedire la replica di oggetti tra tenant | Controllare la restrizione della replica degli oggetti per l'account di archiviazione. Per impostazione predefinita, gli utenti possono configurare la replica di oggetti con un account di archiviazione di origine in un tenant di Azure AD e un account di destinazione in un tenant diverso. Si tratta di un problema di sicurezza perché i dati del cliente possono essere replicati in un account di archiviazione di proprietà del cliente. Impostando allowCrossTenantReplication su false, la replica degli oggetti può essere configurata solo se gli account di origine e di destinazione si trovano nello stesso tenant di Azure AD. | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono impedire l'accesso alla chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Tra questi due tipi di autorizzazione, Azure AD fornisce una sicurezza superiore ed è più facile da usare rispetto a Chiave condivisa ed è consigliato da Microsoft. | Audit, Deny, Disabled | 2.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire le connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
| Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Disabled | 1.0.3 |
| Gli account di archiviazione devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Archiviazione tabelle deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Audit, Deny, Disabled | 1.0.0 |
Analisi di flusso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati | Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Il processo di Analisi di flusso deve connettersi a input e output attendibili | Assicurarsi che i processi di Analisi di flusso non dispongano di connessioni arbitrarie di input o output non definite nell'elenco elementi consentiti. In questo modo, i processi di Analisi di flusso non esfiltrano i dati connettendosi a sink arbitrari all'esterno dell'organizzazione. | Deny, Disabled, Audit | 1.1.0 |
| Il processo di Analisi di flusso deve usare l'identità gestita per autenticare gli endpoint | Assicurarsi che i processi di Analisi di flusso si connettano solo agli endpoint usando l'autenticazione dell'identità gestita. | Deny, Disabled, Audit | 1.0.0 |
Synapse
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile abilitare il controllo nell'area di lavoro Synapse | Abilitare il controllo nell'area di lavoro Synapse per verificare le attività del database in tutti i database nei pool SQL dedicati e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 1.0.0 |
| Per i pool SQL dedicati di Azure Synapse Analytics deve essere abilitata la crittografia | Abilitare Transparent Data Encryption per i pool SQL dedicati di Azure Synapse Analytics per proteggere i dati inattivi e soddisfare i requisiti di conformità. Si noti che l'abilitazione di Transparent Data Encryption per il pool può influire sulle prestazioni delle query. Altri dettagli possono fare riferimento a https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Il Server SQL dell’area di lavoro Azure Synapse deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che il server SQL dell'area di lavoro di Azure Synapse sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Deny, Disabled | 1.1.0 |
| Le aree di lavoro Azure Synapse devono consentire solo il traffico dati in uscita verso le destinazioni approvate | Aumentare la sicurezza dell'area di lavoro Synapse consentendo il traffico dei dati in uscita solo alle destinazioni approvate. Ciò consente di prevenire l'esfiltrazione dei dati convalidando la destinazione prima di inviare dati. | Audit, Disabled, Deny | 1.0.0 |
| Le aree di lavoro Azure Synapse devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. | Audit, Deny, Disabled | 1.0.0 |
| Le area di lavoro Azure Synapse devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Configurare l’SQL dedicato dell’area di lavoro Azure Synapse alla versione TLS minima | I clienti possono generare o ridurre la versione minima di TLS usando l'API, sia per le nuove aree di lavoro di Synapse che per le aree di lavoro esistenti. Gli utenti che devono usare una versione client inferiore nelle aree di lavoro possono quindi connettersi mentre gli utenti con requisiti di sicurezza possono aumentare la versione minima di TLS. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modifica, disattivato | 1.1.0 |
| Configurare le aree di lavoro Azure Synapse per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'area di lavoro di Synapse in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modifica, disattivato | 1.0.0 |
| Configurare aree di lavoro Azure Synapse per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'area di lavoro di Azure Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare aree di lavoro Azure Synapse con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Synapse, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro Synapse con il controllo abilitato | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato per l'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione | Richiedere e riconfigurare le aree di lavoro di Synapse per l'uso dell'autenticazione solo Entra-only di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale e la riattivazione dell'autenticazione solo Entra-only per le risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modifica, disattivato | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere e riconfigurare le aree di lavoro di Synapse da creare con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modifica, disattivato | 1.2.0 |
| Le regole del firewall IP nelle aree di lavoro Azure Synapse devono essere rimosse | La rimozione di tutte le regole del firewall IP migliora la sicurezza, in quanto garantisce che all'area di lavoro di Azure Synapse sia possibile accedere solo da un endpoint privato. Questa configurazione controlla la creazione di regole del firewall che consentono l'accesso alla rete pubblica nell'area di lavoro. | Audit, Disabled | 1.0.0 |
| La rete virtuale dell'area di lavoro gestita deve essere abilitata nelle aree di lavoro Azure Synapse | L'abilitazione di una rete virtuale dell'area di lavoro gestita garantisce che l'area di lavoro sia isolata da altre aree di lavoro in rete. L'integrazione dei dati e le risorse di Spark distribuite in questa rete virtuale fornisce anche l'isolamento a livello di utente per le attività di Spark. | Audit, Deny, Disabled | 1.0.0 |
| Gli endpoint privati gestiti da Synapse devono connettersi solo alle risorse nei tenant di Azure Active Directory approvati | Protegge l'area di lavoro Synapse consentendo solo connessioni alle risorse nei tenant di Azure Active Directory (Azure AD) approvati. I tenant di Azure AD approvati possono essere definiti durante l'assegnazione dei criteri. | Audit, Disabled, Deny | 1.0.0 |
| Le impostazioni di controllo dell'area di lavoro Synapse devono avere gruppi di azioni configurati per acquisire attività critiche | Per assicurarsi che i log di controllo siano il più accurato possibile, la proprietà AuditActionsAndGroups deve includere tutti i gruppi pertinenti. È consigliabile aggiungere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le aree di lavoro di Synapse deve essere abilitata l'autenticazione solo Entra di Microsoft | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Synapse devono usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Le aree di lavoro Synapse con il controllo SQL nella destinazione dell'account di archiviazione devono essere configurate con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo SQL dell'area di lavoro di Synapse sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 2.0.0 |
| La soluzione Valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro Synapse | Consente di individuare, tenere traccia e correggere potenziali vulnerabilità configurando analisi di valutazione delle vulnerabilità SQL ricorrenti nelle aree di lavoro Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Tag
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Aggiungi un tag alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nelle risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creata o aggiornata una risorsa. È possibile correggere le risorse esistenti attivando un'attività di correzione. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi tag e relativo valore dal gruppo di risorse | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Non si applica ai gruppi di risorse. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.1 |
| Eredita un tag dal gruppo di risorse | Aggiunge o sostituisce il tag e il valore specificati del gruppo di risorse padre quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dal gruppo di risorse se mancante | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse padre quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione | Aggiunge o sostituisce il tag e il valore specificati della sottoscrizione che li contiene quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione se mancante | Aggiunge il tag specificato con il relativo valore della sottoscrizione che li contiene quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | rifiutare | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Applica un tag obbligatorio e il relativo valore. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
| Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | rifiutare | 1.0.0 |
| Richiedi tag sulle risorse | Impone l'esistenza di un tag. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
Avvio attendibile
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch | TrustedLaunch migliora la sicurezza di una macchina virtuale che richiede il supporto dell'immagine del disco del sistema operativo (Gen 2). Per altre informazioni su TrustedLaunch, visitare https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| Per la macchina virtuale deve essere abilitato TrustedLaunch | Abilitare TrustedLaunch nella macchina virtuale per una sicurezza avanzata, usare lo SKU della macchina virtuale (Gen 2) che supporta TrustedLaunch. Per altre informazioni su TrustedLaunch, visitare https://video2.skills-academy.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
VirtualEnclaves
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare gli account di archiviazione per limitare l'accesso alla rete solo tramite la configurazione bypass ACL di rete. | Per migliorare la sicurezza degli account di archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Modifica, disattivato | 1.0.0 |
| Non consentire la creazione di tipi di risorse all'esterno dell'elenco elementi consentiti | Questo criterio impedisce la distribuzione di tipi di risorse al di fuori dei tipi consentiti in modo esplicito, per mantenere la sicurezza in un enclave virtuale. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Non consentire la creazione di tipi o tipi di risorse specificati in provider specifici | I provider di risorse e i tipi specificati tramite l'elenco di parametri non possono essere creati senza l'approvazione esplicita del team di sicurezza. Se all'assegnazione dei criteri viene concessa un'esenzione, la risorsa può essere accolta all'interno dell'enclave. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono essere connesse a una subnet approvata della rete virtuale approvata | Questo criterio impedisce alle interfacce di rete di connettersi a una rete virtuale o a una subnet non approvata. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete solo tramite l'ACL di rete. | Per migliorare la sicurezza degli account di archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Generatore di immagini della macchina virtuale
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web PubSub
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il servizio Azure Web PubSub deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Web PubSub di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/networkacls. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Azure Web PubSub deve abilitare i log di diagnostica | Controlla l'abilitazione dei log di diagnostica consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve avere i metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza garantendo che il servizio Web PubSub di Azure richieda esclusivamente le identità Active Directory di Azure per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, il collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locali in modo che il servizio Azure Web PubSub richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. | Modifica, disattivato | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa Web PubSub di Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/awps/networkacls. | Modifica, disattivato | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configura il servizio Web PubSub di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.