Detalhes da iniciativa interna de conformidade regulatória CIS Microsoft Azure Foundations Benchmark 2.0.0

O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no CIS Microsoft Azure Foundations Benchmark 2.0.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark 2.0.0. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.

Os mapeamentos a seguir são para os controles CIS Microsoft Azure Foundations Benchmark 2.0.0 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v2.0.0 .

1.1

Verifique se os Padrões de Segurança estão habilitados no Azure Ative Directory

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Autenticar no módulo criptográfico	CMA_0021 - Autenticar no módulo criptográfico	Manual, Desativado	1.1.0
Autorizar acesso remoto	CMA_0024 - Autorizar acesso remoto	Manual, Desativado	1.1.0
Formação em mobilidade documental	CMA_0191 - Formação em mobilidade documental	Manual, Desativado	1.1.0
Documentar diretrizes de acesso remoto	CMA_0196 - Documentar diretrizes de acesso remoto	Manual, Desativado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 - Identificar e autenticar dispositivos de rede	Manual, Desativado	1.1.0
Implementar controles para proteger locais de trabalho alternativos	CMA_0315 - Implementar controles para proteger locais de trabalho alternativos	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0
Satisfazer os requisitos de qualidade do token	CMA_0487 - Satisfazer os requisitos de qualidade do token	Manual, Desativado	1.1.0

Certifique-se de que 'Multi-Factor Auth Status' está 'Ativado' para todos os usuários privilegiados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0

Certifique-se de que 'Multi-Factor Auth Status' está 'Ativado' para todos os usuários sem privilégios

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA	A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos.	AuditIfNotExists, desativado	1.0.0
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0

Verifique se a opção "Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam" está desativada

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 - Identificar e autenticar dispositivos de rede	Manual, Desativado	1.1.0
Satisfazer os requisitos de qualidade do token	CMA_0487 - Satisfazer os requisitos de qualidade do token	Manual, Desativado	1.1.0

1

Certifique-se de que "Notificar todos os administradores quando outros administradores redefinirem sua senha?" está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.10 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Implementar treinamento para proteger autenticadores	CMA_0329 - Implementar treinamento para proteger autenticadores	Manual, Desativado	1.1.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Monitorar atribuição de função privilegiada	CMA_0378 - Monitorar atribuição de função privilegiada	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 - Restringir o acesso a contas privilegiadas	Manual, Desativado	1.1.0
Revogar funções privilegiadas conforme apropriado	CMA_0483 - Revogar funções privilegiadas conforme apropriado	Manual, Desativado	1.1.0
Usar o gerenciamento privilegiado de identidades	CMA_0533 - Use o gerenciamento privilegiado de identidades	Manual, Desativado	1.1.0

Certifique-se User consent for applications de que está definido como Do not allow user consent

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.11 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0

Certifique-se de que 'Os utilizadores podem adicionar aplicações da galeria às Minhas Aplicações' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.13 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0

Certifique-se de que 'Os utilizadores podem registar aplicações' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.14 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0

Verifique se 'Restrições de acesso de usuários convidados' está definido como 'Acesso de usuário convidado está restrito a propriedades e associações de seus próprios objetos de diretório'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.15 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0

Certifique-se de que 'Restrições de convite de convidado' esteja definido como "Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.16 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0

Verifique se 'Restringir acesso ao portal de administração do Azure AD' está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.17 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0

Verifique se 'Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso' está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.18 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Verifique se 'Os usuários podem criar grupos de segurança nos portais do Azure, API ou PowerShell' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.19 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Certifique-se de que 'Os proprietários podem gerir pedidos de adesão a grupos no Painel de Acesso' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.20 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Verifique se 'Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell' está definido como 'Não'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.21 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Certifique-se de que 'Exigir autenticação multifator para registrar ou ingressar dispositivos com o Azure AD' esteja definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.22 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Adotar mecanismos de autenticação biométrica	CMA_0005 - Adotar mecanismos de autenticação biométrica	Manual, Desativado	1.1.0
Autorizar acesso remoto	CMA_0024 - Autorizar acesso remoto	Manual, Desativado	1.1.0
Formação em mobilidade documental	CMA_0191 - Formação em mobilidade documental	Manual, Desativado	1.1.0
Documentar diretrizes de acesso remoto	CMA_0196 - Documentar diretrizes de acesso remoto	Manual, Desativado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 - Identificar e autenticar dispositivos de rede	Manual, Desativado	1.1.0
Implementar controles para proteger locais de trabalho alternativos	CMA_0315 - Implementar controles para proteger locais de trabalho alternativos	Manual, Desativado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 - Fornecer treinamento de privacidade	Manual, Desativado	1.1.0
Satisfazer os requisitos de qualidade do token	CMA_0487 - Satisfazer os requisitos de qualidade do token	Manual, Desativado	1.1.0

Certifique-se de que não existem funções de administrador de subscrição personalizadas

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.23 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Auditar o uso de funções RBAC personalizadas	Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças	Auditoria, Desativado	1.0.1
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Projetar um modelo de controle de acesso	CMA_0129 - Projetar um modelo de controle de acesso	Manual, Desativado	1.1.0
Empregar acesso com privilégios mínimos	CMA_0212 - Empregar acesso com privilégios mínimos	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Verifique se uma função personalizada recebeu permissões para administrar bloqueios de recursos

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.24 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

Garantir que os usuários convidados sejam revisados regularmente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas	As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado.	AuditIfNotExists, desativado	1.0.0
Reatribuir ou remover privilégios de usuário conforme necessário	CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário	Manual, Desativado	1.1.0
Revisar logs de provisionamento de conta	CMA_0460 - Revisar logs de provisionamento de conta	Manual, Desativado	1.1.0
Rever contas de utilizador	CMA_0480 - Rever contas de utilizador	Manual, Desativado	1.1.0
Rever os privilégios de utilizador	CMA_C1039 - Rever os privilégios do utilizador	Manual, Desativado	1.1.0

Certifique-se de que 'Número de dias antes que os usuários sejam solicitados a confirmar novamente suas informações de autenticação' não esteja definido como '0'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0

Certifique-se de que "Notificar os usuários sobre redefinições de senha?" está definido como 'Sim'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.9 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Implementar treinamento para proteger autenticadores	CMA_0329 - Implementar treinamento para proteger autenticadores	Manual, Desativado	1.1.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0

10

Verifique se os bloqueios de recursos estão definidos para recursos de missão crítica do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 10.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer e documentar processos de controle de alterações	CMA_0265 - Estabelecer e documentar processos de controlo de alterações	Manual, Desativado	1.1.0

2.1

Verifique se o Microsoft Defender for Servers está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender para servidores deve estar habilitado	O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas.	AuditIfNotExists, desativado	1.0.3
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender for Key Vault está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.10 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender for Key Vault deve ser habilitado	O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves.	AuditIfNotExists, desativado	1.0.3
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender para DNS está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.11 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
[Preterido]: Azure Defender for DNS deve ser habilitado	Esta definição de política não é mais a maneira recomendada de atingir sua intenção, porque o pacote DNS está sendo preterido. Em vez de continuar a usar essa política, recomendamos que você atribua essa política de substituição com o ID de política 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Saiba mais sobre a substituição da definição de política em aka.ms/policydefdeprecation	AuditIfNotExists, desativado	1.1.0-preterido

Verifique se o Microsoft Defender for Resource Manager está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de referência 2.1.12 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender for Resource Manager deve estar habilitado	O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center .	AuditIfNotExists, desativado	1.0.0

Verifique se a Recomendação do Microsoft Defender para o status 'Aplicar atualizações do sistema' está 'Concluída'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.13 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes	Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Auditoria, Negar, Desativado	3.7.0

Verifique se qualquer uma das configurações de política padrão ASC não está definida como 'Desabilitada'

ID: CIS Microsoft Azure Foundations Recomendação de referência 2.1.14 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar ações para dispositivos não compatíveis	CMA_0062 - Configurar ações para dispositivos não compatíveis	Manual, Desativado	1.1.0
Desenvolver e manter configurações de linha de base	CMA_0153 - Desenvolver e manter configurações de linha de base	Manual, Desativado	1.1.0
Impor definições de configuração de segurança	CMA_0249 - Impor definições de configuração de segurança	Manual, Desativado	1.1.0
Estabelecer uma placa de controle de configuração	CMA_0254 - Estabelecer uma placa de controle de configuração	Manual, Desativado	1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração	CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração	Manual, Desativado	1.1.0
Implementar uma ferramenta automatizada de gerenciamento de configuração	CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração	Manual, Desativado	1.1.0

Verifique se o provisionamento automático do 'Agente do Log Analytics para VMs do Azure' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.15 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Ligue sensores para solução de segurança de endpoint	CMA_0514 - Ligue sensores para solução de segurança de endpoint	Manual, Desativado	1.1.0

Verifique se o provisionamento automático dos componentes do 'Microsoft Defender for Containers' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.17 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Microsoft Defender for Containers deve estar habilitado	O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem.	AuditIfNotExists, desativado	1.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se 'Endereços de e-mail adicionais' está configurado com um e-mail de contato de segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.19 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança	Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança.	AuditIfNotExists, desativado	1.0.1

Verifique se o Microsoft Defender for App Services está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender for App Service deve estar habilitado	O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web.	AuditIfNotExists, desativado	1.0.3
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Certifique-se de que 'Notificar alertas com a seguinte gravidade' está definido como 'Alto'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.20 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
A notificação por e-mail para alertas de alta gravidade deve ser ativada	Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança.	AuditIfNotExists, desativado	1.2.0

Verifique se a integração do Microsoft Defender for Cloud Apps com o Microsoft Defender for Cloud está selecionada

ID: CIS Microsoft Azure Foundations Recomendação de referência 2.1.21 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se a integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud está selecionada

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.22 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender para bancos de dados está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado	O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center	AuditIfNotExists, desativado	1.0.0
Azure Defender para SQL servidores em máquinas deve ser habilitado	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
O Microsoft Defender para Azure Cosmos DB deve ser habilitado	O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos.	AuditIfNotExists, desativado	1.0.0

Verifique se o Microsoft Defender para bancos de dados SQL do Azure está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender para SQL Servers em computadores está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Azure Defender para SQL servidores em máquinas deve ser habilitado	O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais.	AuditIfNotExists, desativado	1.0.2
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender para bancos de dados relacionais de código aberto está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado	O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center	AuditIfNotExists, desativado	1.0.0

Verifique se o Microsoft Defender for Storage está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
O Microsoft Defender for Storage deve estar habilitado	O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos.	AuditIfNotExists, desativado	1.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender for Containers está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Detetar serviços de rede que não foram autorizados ou aprovados	CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Microsoft Defender for Containers deve estar habilitado	O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem.	AuditIfNotExists, desativado	1.0.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0

Verifique se o Microsoft Defender para Azure Cosmos DB está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1.9 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Microsoft Defender para Azure Cosmos DB deve ser habilitado	O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos.	AuditIfNotExists, desativado	1.0.0

3

Certifique-se de que 'Transferência segura necessária' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0
A transferência segura para contas de armazenamento deve ser ativada	Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão	Auditoria, Negar, Desativado	2.0.0

Garantir que os pontos de extremidade privados sejam usados para acessar contas de armazenamento

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.10 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem usar link privado	O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, desativado	2.0.0

Garantir que o armazenamento de dados críticos seja criptografado com chaves gerenciadas pelo cliente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.12 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia	Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente.	Auditoria, Desativado	1.0.3

Verifique se o log de armazenamento está habilitado para o serviço de Blob para solicitações 'Ler', 'Gravar' e 'Excluir'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.13 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Configurar recursos de Auditoria do Azure	CMA_C1108 - Configurar os recursos de Auditoria do Azure	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o log de armazenamento está habilitado para o serviço de tabela para solicitações 'Ler', 'Gravar' e 'Excluir'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.14 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Configurar recursos de Auditoria do Azure	CMA_C1108 - Configurar os recursos de Auditoria do Azure	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se a "Versão mínima de TLS" para contas de armazenamento está definida como "Versão 1.2"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.15 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0
As contas de armazenamento devem ter a versão TLS mínima especificada	Configure uma versão mínima do TLS para comunicação segura entre o aplicativo cliente e a conta de armazenamento. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a versão mais recente, que atualmente é o TLS 1.2.	Auditoria, Negar, Desativado	1.0.0

Verifique se 'Habilitar criptografia de infraestrutura' para cada conta de armazenamento no Armazenamento do Azure está definido como 'habilitado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem ter criptografia de infraestrutura	Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes.	Auditoria, Negar, Desativado	1.0.0

Verifique se as chaves de acesso da conta de armazenamento são regeneradas periodicamente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Verifique se o log de armazenamento está habilitado para o serviço de fila para solicitações 'Ler', 'Gravar' e 'Excluir'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Configurar recursos de Auditoria do Azure	CMA_C1108 - Configurar os recursos de Auditoria do Azure	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Certifique-se de que os tokens de assinatura de acesso compartilhado expirem dentro de uma hora

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Desativar autenticadores após a rescisão	CMA_0169 - Desativar autenticadores após a rescisão	Manual, Desativado	1.1.0
Revogar funções privilegiadas conforme apropriado	CMA_0483 - Revogar funções privilegiadas conforme apropriado	Manual, Desativado	1.1.0
Encerrar sessão de usuário automaticamente	CMA_C1054 - Encerrar sessão de usuário automaticamente	Manual, Desativado	1.1.0

Verifique se o 'Nível de acesso público' está desativado para contas de armazenamento com contêineres de blob

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido	O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija.	auditoria, auditoria, negar, negar, desativado, desativado	3.1.0-Pré-visualização
Autorizar o acesso a funções e informações de segurança	CMA_0022 - Autorizar o acesso a funções e informações de segurança	Manual, Desativado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 - Autorizar e gerir o acesso	Manual, Desativado	1.1.0
Impor acesso lógico	CMA_0245 - Impor acesso lógico	Manual, Desativado	1.1.0
Aplicar políticas de controle de acesso obrigatórias e discricionárias	CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias	Manual, Desativado	1.1.0
Exigir aprovação para a criação de conta	CMA_0431 - Requer aprovação para a criação de conta	Manual, Desativado	1.1.0
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desativado	1.1.0

Verifique se a regra de acesso à rede padrão para contas de armazenamento está definida como Negar

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas de armazenamento devem restringir o acesso à rede	O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública	Auditoria, Negar, Desativado	1.1.1
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual	Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento.	Auditoria, Negar, Desativado	1.0.1

Verifique se 'Permitir que os serviços do Azure na lista de serviços confiáveis acessem esta conta de armazenamento' esteja habilitado para acesso à conta de armazenamento

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.9 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft	Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento.	Auditoria, Negar, Desativado	1.0.0

4.1

Certifique-se de que 'Auditoria' está definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
A auditoria no SQL Server deve ser habilitada	A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.	AuditIfNotExists, desativado	2.0.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Certifique-se de que nenhum Banco de Dados SQL do Azure permita a entrada a partir de 0.0.0.0/0 (QUALQUER IP)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado	A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual.	Auditoria, Negar, Desativado	1.1.0

Verifique se o protetor TDE (Transparent Data Encryption) do SQL Server está criptografado com chave gerenciada pelo cliente

ID: CIS Microsoft Azure Foundations Recomendação de referência 4.1.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado.	Auditoria, Negar, Desativado	2.0.0
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso	A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado.	Auditoria, Negar, Desativado	2.0.1

Verifique se o administrador do Ative Directory do Azure está configurado para SQL Servers

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL	Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft	AuditIfNotExists, desativado	1.0.0
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0

Verifique se 'Criptografia de dados' está definido como 'Ativado' em um Banco de Dados SQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada	A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade	AuditIfNotExists, desativado	2.0.0

Garantir que a retenção de "auditoria" seja "superior a 90 dias"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Aderir aos períodos de retenção definidos	CMA_0004 - Respeitar os períodos de retenção definidos	Manual, Desativado	1.1.0
Governar e monitorar as atividades de processamento de auditoria	CMA_0289 - Governar e monitorar as atividades de processamento de auditoria	Manual, Desativado	1.1.0
Manter políticas e procedimentos de segurança	CMA_0454 - Reter políticas e procedimentos de segurança	Manual, Desativado	1.1.0
Reter dados de usuários encerrados	CMA_0455 - Reter dados de usuários encerrados	Manual, Desativado	1.1.0
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior	Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares.	AuditIfNotExists, desativado	3.0.0

4.2

Verifique se o Microsoft Defender for SQL está definido como 'Ativado' para SQL Servers críticos

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos	Audite servidores SQL sem Segurança de Dados Avançada	AuditIfNotExists, desativado	2.0.1
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas	Audite cada instância gerenciada SQL sem segurança de dados avançada.	AuditIfNotExists, desativado	1.0.2
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0

Verifique se a Avaliação de Vulnerabilidade (VA) está habilitada em um servidor SQL definindo uma Conta de Armazenamento

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL	Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	1.0.1
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL	Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	3.0.0

Certifique-se de que a configuração de Avaliação de Vulnerabilidade (VA) 'Verificações periódicas recorrentes' esteja definida como 'on' para cada servidor SQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL	Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	1.0.1

Verifique se a configuração de Avaliação de Vulnerabilidade (VA) 'Enviar relatórios de verificação para' está configurada para um servidor SQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Correlacione informações de verificação de vulnerabilidade	CMA_C1558 - Correlacione informações de verificação de vulnerabilidade	Manual, Desativado	1.1.1
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL	Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	3.0.0

Verifique se a configuração de Avaliação de Vulnerabilidade (VA) 'Também enviar notificações por email para administradores e proprietários de assinaturas' está definida para cada SQL Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Correlacione informações de verificação de vulnerabilidade	CMA_C1558 - Correlacione informações de verificação de vulnerabilidade	Manual, Desativado	1.1.1
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas	Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	4.1.0
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL	Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados.	AuditIfNotExists, desativado	3.0.0

4.3

Verifique se 'Enforce SSL connection' está definido como 'ENABLED' para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL	O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Verifique se o parâmetro do servidor 'log_checkpoints' está definido como 'ON' para o servidor de banco de dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Os pontos de verificação de log devem ser habilitados para servidores de banco de dados PostgreSQL	Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_checkpoints configuração habilitada.	AuditIfNotExists, desativado	1.0.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o parâmetro do servidor 'log_connections' está definido como 'ON' para o PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
As conexões de log devem ser habilitadas para servidores de banco de dados PostgreSQL	Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_connections configuração habilitada.	AuditIfNotExists, desativado	1.0.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o parâmetro do servidor 'log_disconnections' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
As desconexões devem ser registradas para servidores de banco de dados PostgreSQL.	Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_disconnections habilitado.	AuditIfNotExists, desativado	1.0.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o parâmetro do servidor 'connection_throttling' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
A limitação de conexão deve ser habilitada para servidores de banco de dados PostgreSQL	Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem a limitação de conexão habilitada. Essa configuração permite a limitação temporária de conexão por IP para muitas falhas de login de senha inválidas.	AuditIfNotExists, desativado	1.0.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o parâmetro do servidor 'log_retention_days' é maior que 3 dias para o servidor de banco de dados PostgreSQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Aderir aos períodos de retenção definidos	CMA_0004 - Respeitar os períodos de retenção definidos	Manual, Desativado	1.1.0
Governar e monitorar as atividades de processamento de auditoria	CMA_0289 - Governar e monitorar as atividades de processamento de auditoria	Manual, Desativado	1.1.0
Manter políticas e procedimentos de segurança	CMA_0454 - Reter políticas e procedimentos de segurança	Manual, Desativado	1.1.0
Reter dados de usuários encerrados	CMA_0455 - Reter dados de usuários encerrados	Manual, Desativado	1.1.0

Verifique se 'Permitir acesso aos serviços do Azure' para o Servidor de Banco de Dados PostgreSQL está desabilitado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Controlar o fluxo de informações	CMA_0079 - Controlar o fluxo de informações	Manual, Desativado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desativado	1.1.0
Estabeleça padrões de configuração de firewall e roteador	CMA_0272 - Estabelecer padrões de configuração de firewall e roteador	Manual, Desativado	1.1.0
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desativado	1.1.0
Identificar e gerir os intercâmbios de informações a jusante	CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante	Manual, Desativado	1.1.0
O acesso à rede pública deve ser desativado para servidores flexíveis PostgreSQL	A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seus servidores flexíveis do Banco de Dados do Azure para PostgreSQL só possam ser acessados a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP.	Auditoria, Negar, Desativado	3.1.0
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL	Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual.	Auditoria, Negar, Desativado	2.0.1

Verifique se 'Criptografia dupla de infraestrutura' para o servidor de banco de dados PostgreSQL está 'Habilitado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
A criptografia de infraestrutura deve ser habilitada para o Banco de Dados do Azure para servidores PostgreSQL	Habilite a criptografia de infraestrutura para o Banco de Dados do Azure para servidores PostgreSQL para ter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas pela Microsoft compatíveis com FIPS 140-2	Auditoria, Negar, Desativado	1.0.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0

4.4

Verifique se 'Enforce SSL connection' está definido como 'Enabled' para o Standard MySQL Database Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.4.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL	O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados.	Auditoria, Desativado	1.0.1
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Verifique se 'Versão TLS' está definida como 'TLSV1.2' para o servidor de banco de dados flexível MySQL

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.4.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

4,5

Certifique-se de que 'firewalls & redes' está limitado a usar redes selecionadas em vez de todas as redes

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.5.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas do Azure Cosmos DB devem ter regras de firewall	As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis.	Auditoria, Negar, Desativado	2.1.0

Garantir que os pontos de extremidade privados sejam usados sempre que possível

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.5.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas do CosmosDB devem usar link privado	O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Auditoria, Desativado	1.0.0

Use a Autenticação de Cliente do Azure Ative Directory (AAD) e o Azure RBAC sempre que possível.

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.5.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As contas de banco de dados do Cosmos DB devem ter métodos de autenticação local desabilitados	A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Auditoria, Negar, Desativado	1.1.0

5.1

Verifique se existe uma 'Configuração de diagnóstico'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0

Garantir que a Configuração de Diagnóstico capture as categorias apropriadas

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Deve existir um alerta de registo de atividades para operações de Política específicas	Esta política audita operações de política específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	3.0.0
Deve existir um alerta de registo de atividades para operações de segurança específicas	Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Configurar recursos de Auditoria do Azure	CMA_C1108 - Configurar os recursos de Auditoria do Azure	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Verifique se o contêiner de armazenamento que armazena os logs de atividades não está acessível publicamente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido	O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija.	auditoria, auditoria, negar, negar, desativado, desativado	3.1.0-Pré-visualização
Habilitar autorização dupla ou conjunta	CMA_0226 - Permitir autorização dupla ou conjunta	Manual, Desativado	1.1.0
Proteger as informações de auditoria	CMA_0401 - Proteger as informações de auditoria	Manual, Desativado	1.1.0

Verifique se a conta de armazenamento que contém o contêiner com registros de atividades está criptografada com a Chave Gerenciada pelo Cliente

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Habilitar autorização dupla ou conjunta	CMA_0226 - Permitir autorização dupla ou conjunta	Manual, Desativado	1.1.0
Manter a integridade do sistema de auditoria	CMA_C1133 - Manter a integridade do sistema de auditoria	Manual, Desativado	1.1.0
Proteger as informações de auditoria	CMA_0401 - Proteger as informações de auditoria	Manual, Desativado	1.1.0
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK	Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok.	AuditIfNotExists, desativado	1.0.0

Verifique se o registro em log do Cofre da Chave do Azure está 'Habilitado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Os logs de recursos no Cofre da Chave devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desativado	5.0.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

Certifique-se de que os logs de fluxo do Grupo de Segurança de Rede sejam capturados e enviados para o Log Analytics

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Todos os recursos do log de fluxo devem estar no estado habilitado	Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.	Auditoria, Desativado	1.0.1
Configuração de logs de fluxo de auditoria para cada rede virtual	Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.	Auditoria, Desativado	1.0.1
Os logs de fluxo devem ser configurados para cada grupo de segurança de rede	Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais.	Auditoria, Desativado	1.1.0

5,2

Verifique se o Alerta de Registro de Atividades existe para Criar Atribuição de Política

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações de Política específicas	Esta política audita operações de política específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	3.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se existe um Alerta de Registro de Atividades para Excluir Atribuição de Política

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações de Política específicas	Esta política audita operações de política específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	3.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se o Alerta de Log de Atividades existe para Criar ou Atualizar Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se o Alerta de Registro de Atividades existe para Excluir Grupo de Segurança de Rede

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se o Alerta de Registro de Atividades existe para Criar ou Atualizar Solução de Segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se o Alerta de Registro de Atividades existe para Excluir Solução de Segurança

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se existe um Alerta de Log de Atividades para Criar ou Atualizar a Regra de Firewall do SQL Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

Verifique se existe um Alerta de Log de Atividades para Excluir Regra de Firewall do SQL Server

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Pessoal de alerta sobre derrames de informação	CMA_0007 - Pessoal de alerta sobre derrames de informação	Manual, Desativado	1.1.0
Deve existir um alerta de registo de atividades para operações administrativas específicas	Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados.	AuditIfNotExists, desativado	1.0.0
Desenvolver um plano de resposta a incidentes	CMA_0145 - Desenvolver um plano de resposta a incidentes	Manual, Desativado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização	Manual, Desativado	1.1.0

5

Verifique se o Log de Recursos do Azure Monitor está habilitado para todos os serviços que oferecem suporte a ele

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Aderir aos períodos de retenção definidos	CMA_0004 - Respeitar os períodos de retenção definidos	Manual, Desativado	1.1.0
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados	Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida.	AuditIfNotExists, desativado	2.0.1
Funções privilegiadas de auditoria	CMA_0019 - Funções privilegiadas de auditoria	Manual, Desativado	1.1.0
Auditar o status da conta de usuário	CMA_0020 - Auditar o status da conta de usuário	Manual, Desativado	1.1.0
Configurar recursos de Auditoria do Azure	CMA_C1108 - Configurar os recursos de Auditoria do Azure	Manual, Desativado	1.1.1
Determinar eventos auditáveis	CMA_0137 - Determinar eventos auditáveis	Manual, Desativado	1.1.0
Governar e monitorar as atividades de processamento de auditoria	CMA_0289 - Governar e monitorar as atividades de processamento de auditoria	Manual, Desativado	1.1.0
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Azure Stream Analytics devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos em contas em lote devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Data Lake Analytics devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Hub de Eventos devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Hub IoT devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	3.1.0
Os logs de recursos no Cofre da Chave devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos em aplicativos lógicos devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.1.0
Os logs de recursos nos serviços de Pesquisa devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Os logs de recursos no Service Bus devem ser habilitados	Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida	AuditIfNotExists, desativado	5.0.0
Manter políticas e procedimentos de segurança	CMA_0454 - Reter políticas e procedimentos de segurança	Manual, Desativado	1.1.0
Reter dados de usuários encerrados	CMA_0455 - Reter dados de usuários encerrados	Manual, Desativado	1.1.0
Rever os dados de auditoria	CMA_0466 - Rever os dados de auditoria	Manual, Desativado	1.1.0

6

Garantir que o acesso RDP da Internet seja avaliado e restrito

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais	As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desativado	3.0.0

Garantir que o acesso SSH da Internet seja avaliado e restrito

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais	As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina.	AuditIfNotExists, desativado	3.0.0

Verifique se o período de retenção do Log de Fluxo do Grupo de Segurança de Rede é "superior a 90 dias"

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Aderir aos períodos de retenção definidos	CMA_0004 - Respeitar os períodos de retenção definidos	Manual, Desativado	1.1.0
Manter políticas e procedimentos de segurança	CMA_0454 - Reter políticas e procedimentos de segurança	Manual, Desativado	1.1.0
Reter dados de usuários encerrados	CMA_0455 - Reter dados de usuários encerrados	Manual, Desativado	1.1.0

Verifique se o Inspetor de Rede está 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Inspetor de Rede deve estar ativado	O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica.	AuditIfNotExists, desativado	3.0.0
Verificar funções de segurança	CMA_C1708 - Verificar funções de segurança	Manual, Desativado	1.1.0

7

Verifique se as máquinas virtuais estão utilizando discos gerenciados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Auditar VMs que não usam discos gerenciados	Esta política audita VMs que não utilizam discos geridos	auditoria	1.0.0
Controlar o acesso físico	CMA_0081 - Controle o acesso físico	Manual, Desativado	1.1.0
Gerencie a entrada, saída, processamento e armazenamento de dados	CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados	Manual, Desativado	1.1.0
Revisar a atividade e a análise de rótulos	CMA_0474 - Revisar a atividade e a análise de rótulos	Manual, Desativado	1.1.0

Certifique-se de que os discos de 'SO e Dados' estão encriptados com a Chave Gerida pelo Cliente (CMK)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0

Certifique-se de que os 'Discos não anexados' estão encriptados com a 'Chave Gerida pelo Cliente' (CMK)

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente	Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption.	Auditoria, Negar, Desativado	1.0.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0

Verifique se apenas as extensões aprovadas estão instaladas

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Somente extensões de VM aprovadas devem ser instaladas	Esta política rege as extensões de máquina virtual que não são aprovadas.	Auditoria, Negar, Desativado	1.0.0

Verifique se o Endpoint Protection para todas as máquinas virtuais está instalado

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB	Manual, Desativado	1.1.0
Operações de segurança de documentos	CMA_0202 - Operações de segurança documental	Manual, Desativado	1.1.0
Gerenciar gateways	CMA_0363 - Gerenciar gateways	Manual, Desativado	1.1.0
Realizar uma análise de tendência sobre ameaças	CMA_0389 - Realizar uma análise de tendência sobre ameaças	Manual, Desativado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 - Executar verificações de vulnerabilidade	Manual, Desativado	1.1.0
Revise o relatório de deteções de malware semanalmente	CMA_0475 - Revise o relatório de deteções de malware semanalmente	Manual, Desativado	1.1.0
Revise o status de proteção contra ameaças semanalmente	CMA_0479 - Revise o status de proteção contra ameaças semanalmente	Manual, Desativado	1.1.0
Ligue sensores para solução de segurança de endpoint	CMA_0514 - Ligue sensores para solução de segurança de endpoint	Manual, Desativado	1.1.0
Atualizar definições de antivírus	CMA_0517 - Atualizar definições de antivírus	Manual, Desativado	1.1.0
Verificar a integridade do software, firmware e informações	CMA_0542 - Verificar a integridade do software, firmware e informação	Manual, Desativado	1.1.0

[Legado] Verifique se os VHDs estão criptografados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Estabelecer um procedimento de gestão de fugas de dados	CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados	Manual, Desativado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 - Implementar controles para proteger todas as mídias	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja informações especiais	CMA_0409 - Proteja informações especiais	Manual, Desativado	1.1.0

8

Verifique se a Data de Validade está definida para todas as Chaves nos Cofres de Chaves RBAC

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
As chaves do Cofre da Chave devem ter uma data de expiração	As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas.	Auditoria, Negar, Desativado	1.0.2
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Certifique-se de que a Data de Expiração está definida para todas as Chaves em Cofres de Chaves Não RBAC.

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
As chaves do Cofre da Chave devem ter uma data de expiração	As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas.	Auditoria, Negar, Desativado	1.0.2
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Verifique se a Data de Expiração está definida para todos os Segredos nos Cofres de Chaves RBAC

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
Os segredos do Cofre de Chaves devem ter uma data de validade	Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos.	Auditoria, Negar, Desativado	1.0.2
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Verifique se a Data de Expiração está definida para todos os Segredos em Cofres de Chaves Não RBAC

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
Os segredos do Cofre de Chaves devem ter uma data de validade	Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos.	Auditoria, Negar, Desativado	1.0.2
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Verifique se o Cofre da Chave é recuperável

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os cofres de chaves devem ter a proteção contra exclusão ativada	A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão.	Auditoria, Negar, Desativado	2.1.0
Os cofres de chaves devem ter a exclusão suave ativada	A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável.	Auditoria, Negar, Desativado	3.0.0

Habilitar o Controle de Acesso Baseado em Função para o Azure Key Vault

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
O Azure Key Vault deve usar o modelo de permissão RBAC	Habilite o modelo de permissão RBAC nos Cofres de Chaves. Saiba mais em: https://video2.skills-academy.com/en-us/azure/key-vault/general/rbac-migration	Auditoria, Negar, Desativado	1.0.1

Verifique se os pontos de extremidade privados são usados para o Cofre da Chave do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os Cofres de Chaves do Azure devem usar o link privado	O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink.	[parâmetros(«audit_effect»)]	1.2.1

Verifique se a Rotação Automática de Chaves está habilitada no Cofre de Chaves do Azure para os Serviços Suportados

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
As chaves devem ter uma política de rotação que garanta que sua rotação seja agendada dentro do número especificado de dias após a criação.	Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias após a criação da chave até que ela seja rotativa.	Auditoria, Desativado	1.0.0

9

Verifique se a Autenticação do Serviço de Aplicativo está configurada para aplicativos no Serviço de Aplicativo do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.1 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada	A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web.	AuditIfNotExists, desativado	2.0.1
Autenticar no módulo criptográfico	CMA_0021 - Autenticar no módulo criptográfico	Manual, Desativado	1.1.0
Impor a exclusividade do usuário	CMA_0250 - Reforçar a exclusividade do utilizador	Manual, Desativado	1.1.0
Os aplicativos de função devem ter a autenticação habilitada	A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função.	AuditIfNotExists, desativado	3.0.0
Suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desativado	1.1.0

Verifique se as implantações de FTP estão desabilitadas

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.10 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Os aplicativos de função devem exigir apenas FTPS	Habilite a imposição de FTPS para maior segurança.	AuditIfNotExists, desativado	3.0.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Verifique se os Cofres de Chaves do Azure são usados para armazenar segredos

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.11 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chaves físicas	CMA_0115 - Definir um processo de gestão de chaves físicas	Manual, Desativado	1.1.0
Definir cryptographic use	CMA_0120 - Definir uso criptográfico	Manual, Desativado	1.1.0
Definir requisitos organizacionais para gerenciamento de chaves criptográficas	CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas	Manual, Desativado	1.1.0
Determinar requisitos de asserção	CMA_0136 - Determinar os requisitos de asserção	Manual, Desativado	1.1.0
Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração	CMA_C1199 - Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração	Manual, Desativado	1.1.0
Emitir certificados de chave pública	CMA_0347 - Emitir certificados de chave pública	Manual, Desativado	1.1.0
Manter a disponibilidade das informações	CMA_C1644 - Manter a disponibilidade da informação	Manual, Desativado	1.1.0
Gerenciar chaves criptográficas simétricas	CMA_0367 - Gerenciar chaves criptográficas simétricas	Manual, Desativado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 - Restringir o acesso a chaves privadas	Manual, Desativado	1.1.0

Garantir que o Aplicativo Web redirecione todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.2 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede.	Auditar, Desabilitar, Negar	4.0.0
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Verifique se o Web App está usando a versão mais recente da criptografia TLS

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.3 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente	Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	2.0.1
Configurar estações de trabalho para verificar certificados digitais	CMA_0073 - Configurar estações de trabalho para verificar certificados digitais	Manual, Desativado	1.1.0
Os aplicativos de função devem usar a versão TLS mais recente	Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	2.0.1
Proteja os dados em trânsito usando criptografia	CMA_0403 - Proteja os dados em trânsito usando criptografia	Manual, Desativado	1.1.0
Proteja senhas com criptografia	CMA_0408 - Proteja senhas com criptografia	Manual, Desativado	1.1.0

Verifique se o aplicativo Web tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado'

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.4 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
[Preterido]: os aplicativos do Serviço de Aplicativo devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente.	Auditoria, Desativado	3.1.0-preterido
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados	Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente.	Auditoria, Desativado	3.1.0-preterido
Autenticar no módulo criptográfico	CMA_0021 - Autenticar no módulo criptográfico	Manual, Desativado	1.1.0

Verifique se Registrar no Azure Ative Directory está habilitado no Serviço de Aplicativo

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.5 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada	Usar uma identidade gerenciada para segurança de autenticação aprimorada	AuditIfNotExists, desativado	3.0.0
Automatize o gerenciamento de contas	CMA_0026 - Automatize o gerenciamento de contas	Manual, Desativado	1.1.0
Os aplicativos de função devem usar identidade gerenciada	Usar uma identidade gerenciada para segurança de autenticação aprimorada	AuditIfNotExists, desativado	3.0.0
Gerenciar contas de sistema e de administrador	CMA_0368 - Gerenciar contas de sistema e de administrador	Manual, Desativado	1.1.0
Monitore o acesso em toda a organização	CMA_0376 - Monitorar o acesso em toda a organização	Manual, Desativado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 - Notificar quando a conta não for necessária	Manual, Desativado	1.1.0

Certifique-se de que a 'versão PHP' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.6 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os slots de aplicativo do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada	Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos.	AuditIfNotExists, desativado	1.0.0
Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada	Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos.	AuditIfNotExists, desativado	3.2.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0

Certifique-se de que a 'versão Python' é a versão estável mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.7 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os slots de aplicativo do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada	Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos.	AuditIfNotExists, desativado	1.0.0
Os aplicativos do Serviço de Aplicativo que usam Python devem usar uma 'versão do Python' especificada	Periodicamente, versões mais recentes são lançadas para software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Python para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Python que atenda aos seus requisitos.	AuditIfNotExists, desativado	4.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0

Certifique-se de que a 'versão Java' é a mais recente, se usada para executar o Web App

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.8 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os slots de aplicativo de função que usam Java devem usar uma 'versão Java' especificada	Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos.	AuditIfNotExists, desativado	1.0.0
Os aplicativos de função que usam Java devem usar uma 'versão Java' especificada	Periodicamente, versões mais recentes são lançadas para software Java, devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do Java para aplicativos Function é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do Java que atenda aos seus requisitos.	AuditIfNotExists, desativado	3.1.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0

Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo Web

ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.9 Propriedade: Compartilhada

Nome (Portal do Azure)	Description	Efeito(s)	Versão (GitHub)
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
Os aplicativos de função devem usar a 'Versão HTTP' mais recente	Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente.	AuditIfNotExists, desativado	4.0.0
Remediar falhas no sistema de informação	CMA_0427 - Remediar falhas no sistema de informação	Manual, Desativado	1.1.0

Próximos passos

Artigos adicionais sobre a Política do Azure:

• Visão geral da conformidade regulamentar.
• Consulte a estrutura de definição da iniciativa.
• Analise outros exemplos em Exemplos de Política do Azure.
• Veja Compreender os efeitos do Policy.
• Saiba como corrigir recursos não compatíveis.