Detalhes da iniciativa interna de Conformidade Regulatória do NIST SP 800-53 Rev. 4 (Azure Government)
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no NIST SP 800-53 Rev. 4 (Azure Government). Para obter mais informações sobre esse padrão de conformidade, consulte NIST SP 800-53 Rev. 4. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles NIST SP 800-53 Rev. 4 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória do NIST SP 800-53 Rev. 4 .
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Controlo de Acesso
Política e Procedimentos de Controle de Acesso
ID: NIST SP 800-53 Rev. 4 AC-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 - Política de controle de acesso e requisitos de procedimentos | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1001 - Política de controle de acesso e requisitos de procedimentos | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Gestão de Contas
ID: NIST SP 800-53 Rev. 4 AC-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Managed Control 1002 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1003 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1004 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1005 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1006 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1007 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1008 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1009 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1010 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1011 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1012 - Gestão de Contas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Gestão Automatizada de Contas do Sistema
ID: NIST SP 800-53 Rev. 4 AC-2 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Microsoft Managed Control 1013 - Gestão de Contas | Gestão Automatizada de Contas do Sistema | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Remoção de Contas Temporárias / Emergenciais
ID: NIST SP 800-53 Rev. 4 AC-2 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 - Gestão de Contas | Remoção de Contas Temporárias / Emergenciais | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Desativar contas inativas
ID: NIST SP 800-53 Rev. 4 AC-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 - Gestão de Contas | Desativar contas inativas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Ações de auditoria automatizadas
ID: NIST SP 800-53 Rev. 4 AC-2 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 - Gestão de Contas | Ações de auditoria automatizadas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Logout de inatividade
ID: NIST SP 800-53 Rev. 4 AC-2 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 - Gestão de Contas | Logout de inatividade | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Esquemas baseados em funções
ID: NIST SP 800-53 Rev. 4 AC-2 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Microsoft Managed Control 1018 - Gestão de Contas | Esquemas baseados em funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1019 - Gestão de Contas | Esquemas baseados em funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1020 - Gestão de Contas | Esquemas baseados em funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Restrições ao uso de grupos/contas compartilhados
ID: NIST SP 800-53 Rev. 4 AC-2 (9) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 - Gestão de Contas | Restrições ao uso de contas compartilhadas / de grupo | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Encerramento de Credenciais de Conta Compartilhada / de Grupo
ID: NIST SP 800-53 Rev. 4 AC-2 (10) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1022 - Gestão de Contas | Encerramento de Credenciais de Conta Compartilhada / de Grupo | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Condições de Utilização
ID: NIST SP 800-53 Rev. 4 AC-2 (11) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 - Gestão de Contas | Condições de Utilização | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Monitorização de Conta / Utilização Atípica
ID: NIST SP 800-53 Rev. 4 AC-2 (12) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1024 - Gestão de Contas | Monitorização de Conta / Utilização Atípica | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1025 - Gestão de Contas | Monitorização de Conta / Utilização Atípica | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Desativar contas para indivíduos de alto risco
ID: NIST SP 800-53 Rev. 4 AC-2 (13) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 - Gestão de Contas | Desativar contas para indivíduos de alto risco | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Imposição de acesso
ID: NIST SP 800-53 Rev. 4 AC-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 1.4.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1027 - Imposição de acesso | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Controlo de Acesso Baseado em Funções
ID: NIST SP 800-53 Rev. 4 AC-3 (7) Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.4 |
Aplicação do fluxo de informações
ID: NIST SP 800-53 Rev. 4 AC-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
| [Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 1.4.1 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1028 - Aplicação do fluxo de informações | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
Controlo Dinâmico do Fluxo de Informação
ID: NIST SP 800-53 Rev. 4 AC-4 (3) Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
Filtros de política de segurança
ID: NIST SP 800-53 Rev. 4 AC-4 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 - Aplicação do fluxo de informações | Filtros de política de segurança | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Separação Física/Lógica dos Fluxos de Informação
ID: NIST SP 800-53 Rev. 4 AC-4 (21) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 - Aplicação do fluxo de informações | Separação Física/Lógica dos Fluxos de Informação | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Separação de funções
ID: NIST SP 800-53 Rev. 4 AC-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 - Separação de funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1032 - Separação de funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1033 - Separação de funções | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Privilégio mínimo
ID: NIST SP 800-53 Rev. 4 AC-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Microsoft Managed Control 1034 - Privilégios mínimos | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Autorizar o acesso a funções de segurança
ID: NIST SP 800-53 Rev. 4 AC-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 - Privilégios mínimos | Autorizar o acesso a funções de segurança | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Acesso não privilegiado para funções não relacionadas à segurança
ID: NIST SP 800-53 Rev. 4 AC-6 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 - Privilégios mínimos | Acesso não privilegiado para funções não relacionadas à segurança | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Acesso de rede a comandos privilegiados
ID: NIST SP 800-53 Rev. 4 AC-6 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 - Privilégios mínimos | Acesso de rede a comandos privilegiados | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Contas privilegiadas
ID: NIST SP 800-53 Rev. 4 AC-6 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 - Privilégios mínimos | Contas privilegiadas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Revisão dos privilégios de usuário
ID: NIST SP 800-53 Rev. 4 AC-6 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Microsoft Managed Control 1039 - Privilégios mínimos | Revisão dos privilégios de usuário | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1040 - Privilégios mínimos | Revisão dos privilégios de usuário | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Níveis de privilégio para execução de código
ID: NIST SP 800-53 Rev. 4 AC-6 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 - Privilégios mínimos | Níveis de privilégio para execução de código | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Auditando o uso de funções privilegiadas
ID: NIST SP 800-53 Rev. 4 AC-6 (9) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 - Privilégios mínimos | Auditando o uso de funções privilegiadas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Proibir usuários não privilegiados de executar funções privilegiadas
ID: NIST SP 800-53 Rev. 4 AC-6 (10) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 - Privilégios mínimos | Proibir usuários não privilegiados de executar funções privilegiadas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Tentativas de logon malsucedidas
ID: NIST SP 800-53 Rev. 4 AC-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 - Tentativas de logon malsucedidas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1045 - Tentativas de logon malsucedidas | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Limpar / Limpar Dispositivo Móvel
ID: NIST SP 800-53 Rev. 4 AC-7 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 - Tentativas de logon malsucedidas | Limpar / Limpar Dispositivo Móvel | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Notificação de Utilização do Sistema
ID: NIST SP 800-53 Rev. 4 AC-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 - Notificação de Utilização do Sistema | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1048 - Notificação de Utilização do Sistema | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1049 - Notificação de Utilização do Sistema | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Controle de sessão simultânea
ID: NIST SP 800-53 Rev. 4 AC-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 - Controle de sessão simultânea | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Bloqueio de sessão
ID: NIST SP 800-53 Rev. 4 AC-11 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 - Bloqueio de Sessão | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1052 - Bloqueio de Sessão | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Monitores de ocultação de padrões
ID: NIST SP 800-53 Rev. 4 AC-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 - Bloqueio de Sessão | Monitores de ocultação de padrões | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Encerramento da sessão
ID: NIST SP 800-53 Rev. 4 AC-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 - Encerramento da Sessão | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Logouts iniciados pelo usuário / exibições de mensagens
ID: NIST SP 800-53 Rev. 4 AC-12 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 - Encerramento de Sessão| Logouts iniciados pelo usuário / exibições de mensagens | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1056 - Encerramento de Sessão | Logouts iniciados pelo usuário / exibições de mensagens | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Ações permitidas sem identificação ou autenticação
ID: NIST SP 800-53 Rev. 4 AC-14 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 - Ações permitidas sem identificação ou autenticação | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1058 - Ações permitidas sem identificação ou autenticação | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Atributos de Segurança
ID: NIST SP 800-53 Rev. 4 AC-16 Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Acesso Remoto
ID: NIST SP 800-53 Rev. 4 AC-17 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
| [Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 1.4.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| Microsoft Managed Control 1059 - Acesso Remoto | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1060 - Acesso Remoto | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
Monitorização/Controlo Automatizado
ID: NIST SP 800-53 Rev. 4 AC-17 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
| [Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 1.4.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| Microsoft Managed Control 1061 - Acesso Remoto | Monitorização/Controlo Automatizado | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
Proteção de Confidencialidade / Integridade Usando Criptografia
ID: NIST SP 800-53 Rev. 4 AC-17 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 - Acesso Remoto | Proteção de Confidencialidade / Integridade Usando Criptografia | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Pontos de controle de acesso gerenciados
ID: NIST SP 800-53 Rev. 4 AC-17 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 - Acesso Remoto | Pontos de controle de acesso gerenciados | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Comandos Privilegiados / Acesso
ID: NIST SP 800-53 Rev. 4 AC-17 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 - Acesso Remoto | Comandos Privilegiados / Acesso | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1065 - Acesso Remoto | Comandos Privilegiados / Acesso | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Desconectar / Desativar Acesso
ID: NIST SP 800-53 Rev. 4 AC-17 (9) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 - Acesso Remoto | Desconectar / Desativar Acesso | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Acesso sem fio
ID: NIST SP 800-53 Rev. 4 AC-18 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 - Restrições de acesso sem fio | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1068 - Restrições de acesso sem fio | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Autenticação e criptografia
ID: NIST SP 800-53 Rev. 4 AC-18 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 - Restrições de acesso sem fio | Autenticação e criptografia | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Desativar rede sem fio
ID: NIST SP 800-53 Rev. 4 AC-18 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 - Restrições de acesso sem fios | Desativar rede sem fio | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Restringir configurações por usuários
ID: NIST SP 800-53 Rev. 4 AC-18 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 - Restrições de acesso sem fio | Restringir configurações por usuários | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Antenas / Níveis de Potência de Transmissão
ID: NIST SP 800-53 Rev. 4 AC-18 (5) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 - Restrições de acesso sem fio | Antenas / Níveis de Potência de Transmissão | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Controle de acesso para dispositivos móveis
ID: NIST SP 800-53 Rev. 4 AC-19 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 - Controle de acesso para sistemas portáteis e móveis | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1074 - Controle de acesso para sistemas portáteis e móveis | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Criptografia completa baseada em dispositivo / contêiner
ID: NIST SP 800-53 Rev. 4 AC-19 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 - Controle de acesso para sistemas portáteis e móveis | Criptografia completa baseada em dispositivo / contêiner | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Utilização de Sistemas de Informação Externos
ID: NIST SP 800-53 Rev. 4 AC-20 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 - Utilização de Sistemas de Informação Externos | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1077 - Utilização de Sistemas de Informação Externos | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Limites de Utilização Autorizada
ID: NIST SP 800-53 Rev. 4 AC-20 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 - Uso de sistemas de informação externos | Limites de Utilização Autorizada | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1079 - Utilização de Sistemas de Informação Externos | Limites de Utilização Autorizada | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Dispositivos de armazenamento portáteis
ID: NIST SP 800-53 Rev. 4 AC-20 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 - Uso de sistemas de informação externos | Dispositivos de armazenamento portáteis | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Partilha de informações
ID: NIST SP 800-53 Rev. 4 AC-21 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 - Compartilhamento de informações | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1082 - Compartilhamento de informações | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Conteúdo acessível ao público
ID: NIST SP 800-53 Rev. 4 AC-22 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 - Conteúdo acessível publicamente | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1084 - Conteúdo acessível publicamente | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1085 - Conteúdo acessível publicamente | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
| Microsoft Managed Control 1086 - Conteúdo acessível publicamente | A Microsoft implementa esse controle de acesso | auditoria | 1.0.0 |
Sensibilização e Formação
Política e procedimentos de sensibilização e formação em matéria de segurança
ID: NIST SP 800-53 Rev. 4 AT-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 - Política e procedimentos de conscientização e treinamento de segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1088 - Política e procedimentos de treinamento e conscientização de segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Formação de Sensibilização para a Segurança
ID: NIST SP 800-53 Rev. 4 AT-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 - Reconhecimento de segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1090 - Reconhecimento de segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1091 - Sensibilização para a segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Ameaça interna
ID: NIST SP 800-53 Rev. 4 AT-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 - Sensibilização para a segurança | Ameaça interna | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Treinamento de segurança baseado em funções
ID: NIST SP 800-53 Rev. 4 AT-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 - Treinamento de segurança baseado em função | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1094 - Treinamento de segurança baseado em função | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1095 - Treinamento de segurança baseado em função | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Exercícios Práticos
ID: NIST SP 800-53 Rev. 4 AT-3 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 - Treinamento de segurança baseado em função | Exercícios Práticos | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Comunicações suspeitas e comportamento anômalo do sistema
ID: NIST SP 800-53 Rev. 4 AT-3 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1097 - Treinamento de segurança baseado em funções | Comunicações suspeitas e comportamento anômalo do sistema | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Registos de Formação em Segurança
ID: NIST SP 800-53 Rev. 4 AT-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 - Registos de Formação de Segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
| Microsoft Managed Control 1099 - Registos de Formação de Segurança | A Microsoft implementa este controlo de Sensibilização e Formação | auditoria | 1.0.0 |
Auditoria e prestação de contas
Política e Procedimentos de Auditoria e Prestação de Contas
ID: NIST SP 800-53 Rev. 4 AU-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 - Política e procedimentos de auditoria e prestação de contas | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1101 - Política e procedimentos de auditoria e prestação de contas | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Eventos de Auditoria
ID: NIST SP 800-53 Rev. 4 AU-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 - Eventos de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1103 - Eventos de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1104 - Eventos de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1105 - Eventos de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Avaliações e atualizações
ID: NIST SP 800-53 Rev. 4 AU-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1106 - Eventos de auditoria | Avaliações e atualizações | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Conteúdo dos registos de auditoria
ID: NIST SP 800-53 Rev. 4 AU-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 - Conteúdo dos registros de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Informações adicionais de auditoria
ID: NIST SP 800-53 Rev. 4 AU-3 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 - Conteúdo dos registros de auditoria | Informações adicionais de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Gerenciamento centralizado do conteúdo do registro de auditoria planejado
ID: NIST SP 800-53 Rev. 4 AU-3 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1109 - Conteúdo dos registos de auditoria | Gerenciamento centralizado do conteúdo do registro de auditoria planejado | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Auditar a capacidade de armazenamento
ID: NIST SP 800-53 Rev. 4 AU-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 - Capacidade de armazenamento de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Resposta a falhas de processamento de auditoria
ID: NIST SP 800-53 Rev. 4 AU-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 - Resposta a falhas de processamento de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1112 - Resposta a falhas de processamento de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Auditar a capacidade de armazenamento
ID: NIST SP 800-53 Rev. 4 AU-5 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 - Resposta a falhas de processamento de auditoria | Auditar a capacidade de armazenamento | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Alertas em tempo real
ID: NIST SP 800-53 Rev. 4 AU-5 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 - Resposta a falhas de processamento de auditoria | Alertas em tempo real | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Revisão, análise e relatórios de auditoria
ID: NIST SP 800-53 Rev. 4 AU-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1115 - Revisão, análise e relatórios de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1116 - Revisão, análise e relatórios de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Integração de Processos
ID: NIST SP 800-53 Rev. 4 AU-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 - Revisão, análise e relatórios de auditoria | Integração de Processos | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Correlacione repositórios de auditoria
ID: NIST SP 800-53 Rev. 4 AU-6 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 - Revisão, análise e relatórios de auditoria | Correlacione repositórios de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Revisão e análise central
ID: NIST SP 800-53 Rev. 4 AU-6 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1119 - Revisão, análise e relatórios de auditoria | Revisão e análise central | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Integração / Digitalização e Capacidades de Monitorização
ID: NIST SP 800-53 Rev. 4 AU-6 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1120 - Revisão, análise e relatórios de auditoria | Integração / Digitalização e Capacidades de Monitorização | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Correlação com o monitoramento físico
ID: NIST SP 800-53 Rev. 4 AU-6 (6) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 - Revisão, análise e relatórios de auditoria | Correlação com o monitoramento físico | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Ações permitidas
ID: NIST SP 800-53 Rev. 4 AU-6 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 - Revisão, análise e relatórios de auditoria | Ações permitidas | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Ajuste do Nível de Auditoria
ID: NIST SP 800-53 Rev. 4 AU-6 (10) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1123 - Revisão, análise e relatórios de auditoria | Ajuste do Nível de Auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Redução de auditoria e geração de relatórios
ID: NIST SP 800-53 Rev. 4 AU-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 - Redução de auditoria e geração de relatórios | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1125 - Redução de auditoria e geração de relatórios | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Tratamento informatizado
ID: NIST SP 800-53 Rev. 4 AU-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 - Redução de auditoria e geração de relatórios | Tratamento informatizado | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Carimbos de data/hora
ID: NIST SP 800-53 Rev. 4 AU-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 - Carimbos de data/hora | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1128 - Carimbos de data/hora | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Sincronização com fonte de tempo autoritativa
ID: NIST SP 800-53 Rev. 4 AU-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1129 - Carimbos de data/hora | Sincronização com fonte de tempo autoritativa | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1130 - Carimbos de data/hora | Sincronização com fonte de tempo autoritativa | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Proteção das informações de auditoria
ID: NIST SP 800-53 Rev. 4 AU-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 - Proteção de informações de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Backup de auditoria em sistemas/componentes físicos separados
ID: NIST SP 800-53 Rev. 4 AU-9 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 - Proteção de informações de auditoria | Backup de auditoria em sistemas/componentes físicos separados | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 4 AU-9 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 - Proteção de informações de auditoria | Proteção criptográfica | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Acesso por subconjunto de usuários privilegiados
ID: NIST SP 800-53 Rev. 4 AU-9 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 - Proteção de informações de auditoria | Acesso por subconjunto de usuários privilegiados | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Não rejeição
ID: NIST SP 800-53 Rev. 4 AU-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 - Não repúdio | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Retenção de registros de auditoria
ID: NIST SP 800-53 Rev. 4 AU-11 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 - Retenção de registros de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
Geração de auditoria
ID: NIST SP 800-53 Rev. 4 AU-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1137 - Geração de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1138 - Geração de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| Microsoft Managed Control 1139 - Geração de auditoria | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Trilha de auditoria em todo o sistema/correlacionada ao tempo
ID: NIST SP 800-53 Rev. 4 AU-12 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1140 - Geração de auditoria | Trilha de auditoria em todo o sistema/correlacionada ao tempo | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
| Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Alterações por Indivíduos Autorizados
ID: NIST SP 800-53 Rev. 4 AU-12 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 - Geração de auditoria | Alterações por Indivíduos Autorizados | A Microsoft implementa este controlo de Auditoria e Prestação de Contas | auditoria | 1.0.0 |
Avaliação de Segurança e Autorização
Política e procedimentos de autorização e avaliação de segurança
ID: NIST SP 800-53 Rev. 4 CA-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 - Certificação, Autorização, Política e Procedimentos de Avaliação de Segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1143 - Certificação, autorização, política e procedimentos de avaliação de segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Avaliações de Segurança
ID: NIST SP 800-53 Rev. 4 CA-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1144 - Avaliações de segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1145 - Avaliações de segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1146 - Avaliações de segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1147 - Avaliações de segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Avaliadores Independentes
ID: NIST SP 800-53 Rev. 4 CA-2 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 - Avaliações de segurança | Avaliadores Independentes | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Avaliações Especializadas
ID: NIST SP 800-53 Rev. 4 CA-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1149 - Avaliações de segurança | Avaliações Especializadas | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Organizações Externas
ID: NIST SP 800-53 Rev. 4 CA-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 - Avaliações de segurança | Organizações Externas | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Interconexões do sistema
ID: NIST SP 800-53 Rev. 4 CA-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1151 - Interconexões do sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1152 - Interconexões do Sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1153 - Interconexões do Sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Conexões não classificadas do sistema de segurança nacional
ID: NIST SP 800-53 Rev. 4 CA-3 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1154 - Interconexões do Sistema | Conexões não classificadas do sistema de segurança nacional | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Restrições em conexões externas do sistema
ID: NIST SP 800-53 Rev. 4 CA-3 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 - Interconexões do Sistema | Restrições em conexões externas do sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Plano de ação e marcos
ID: NIST SP 800-53 Rev. 4 CA-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 - Plano de ação e marcos | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1157 - Plano de ação e marcos | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Autorização de Segurança
ID: NIST SP 800-53 Rev. 4 CA-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1158 - Autorização de Segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1159 - Autorização de Segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1160 - Autorização de Segurança | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Monitorização Contínua
ID: NIST SP 800-53 Rev. 4 CA-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1162 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1163 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1164 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1165 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1166 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1167 - Monitorização Contínua | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Avaliação independente
ID: NIST SP 800-53 Rev. 4 CA-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 - Monitorização Contínua | Avaliação independente | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Análises de Tendências
ID: NIST SP 800-53 Rev. 4 CA-7 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 - Monitoramento contínuo | Análises de Tendências | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Testes de Penetração
ID: NIST SP 800-53 Rev. 4 CA-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 - Teste de penetração | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Agente de Penetração Independente ou Equipa
ID: NIST SP 800-53 Rev. 4 CA-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 - Teste de penetração | Agente de Penetração Independente ou Equipa | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Conexões internas do sistema
ID: NIST SP 800-53 Rev. 4 CA-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 - Conexões internas do sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
| Microsoft Managed Control 1173 - Conexões internas do sistema | A Microsoft implementa este controlo de Avaliação de Segurança e Autorização | auditoria | 1.0.0 |
Gestão da Configuração
Política e procedimentos de gerenciamento de configuração
ID: NIST SP 800-53 Rev. 4 CM-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 - Política e procedimentos de gerenciamento de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1175 - Política e procedimentos de gerenciamento de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Configuração de linha de base
ID: NIST SP 800-53 Rev. 4 CM-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 - Configuração de linha de base | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Avaliações e atualizações
ID: NIST SP 800-53 Rev. 4 CM-2 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1177 - Configuração de linha de base | Avaliações e atualizações | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1178 - Configuração de linha de base | Avaliações e atualizações | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1179 - Configuração de linha de base | Avaliações e atualizações | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Suporte de automação para precisão / moeda
ID: NIST SP 800-53 Rev. 4 CM-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 - Configuração de linha de base | Suporte de automação para precisão / moeda | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Retenção de configurações anteriores
ID: NIST SP 800-53 Rev. 4 CM-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 - Configuração de linha de base | Retenção de configurações anteriores | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Configurar sistemas, componentes ou dispositivos para áreas de alto risco
ID: NIST SP 800-53 Rev. 4 CM-2 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 - Configuração de linha de base | Configurar sistemas, componentes ou dispositivos para áreas de alto risco | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1183 - Configuração de linha de base | Configurar sistemas, componentes ou dispositivos para áreas de alto risco | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Controlo de alterações de configuração
ID: NIST SP 800-53 Rev. 4 CM-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1184 - Controle de alterações de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1185 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1186 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1187 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1188 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1189 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1190 - Controle de alteração de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Documento Automatizado / Notificação / Proibição de Alterações
ID: NIST SP 800-53 Rev. 4 CM-3 (1) Propriedade: Compartilhada
Testar / Validar / Alterações de Documentos
ID: NIST SP 800-53 Rev. 4 CM-3 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 - Controle de alterações de configuração | Testar / Validar / Alterações de Documentos | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Representante de Segurança
ID: NIST SP 800-53 Rev. 4 CM-3 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 - Controle de alteração de configuração | Representante de Segurança | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Gestão de Criptografia
ID: NIST SP 800-53 Rev. 4 CM-3 (6) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 - Controle de alteração de configuração | Gestão de Criptografia | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Análise de impacto na segurança
ID: NIST SP 800-53 Rev. 4 CM-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 - Análise de impacto na segurança | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Ambientes de teste separados
ID: NIST SP 800-53 Rev. 4 CM-4 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 - Análise de impacto na segurança | Ambientes de teste separados | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Restrições de acesso para alteração
ID: NIST SP 800-53 Rev. 4 CM-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 - Restrições de acesso para alteração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Aplicação / auditoria de acesso automatizado
ID: NIST SP 800-53 Rev. 4 CM-5 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 - Restrições de acesso para alteração | Aplicação / auditoria de acesso automatizado | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Rever as alterações do sistema
ID: NIST SP 800-53 Rev. 4 CM-5 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1204 - Restrições de acesso para alteração | Rever as alterações do sistema | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Componentes assinados
ID: NIST SP 800-53 Rev. 4 CM-5 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1205 - Restrições de acesso para alteração | Componentes assinados | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Limitar a produção/privilégios operacionais
ID: NIST SP 800-53 Rev. 4 CM-5 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 - Restrições de acesso para alteração | Limitar a produção/privilégios operacionais | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1207 - Restrições de acesso para alteração | Limitar a produção/privilégios operacionais | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Definições de configuração
ID: NIST SP 800-53 Rev. 4 CM-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. | Auditoria, Desativado | 3.1.0-preterido |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
| Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
| Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.2.0 |
| Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.1 |
| Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.1.0 |
| Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 10.1.0 |
| Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.1.0 |
| As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.5.0 |
| Microsoft Managed Control 1208 - Definições de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1209 - Definições de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1210 - Definições de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1211 - Definições de configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 1.0.0 |
Gestão Central Automatizada / Aplicação / Verificação
ID: NIST SP 800-53 Rev. 4 CM-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 - Definições de configuração | Gestão Central Automatizada / Aplicação / Verificação | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Responder a alterações não autorizadas
ID: NIST SP 800-53 Rev. 4 CM-6 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 - Definições de configuração | Responder a alterações não autorizadas | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Menos funcionalidade
ID: NIST SP 800-53 Rev. 4 CM-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Managed Control 1214 - Menos funcionalidade | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1215 - Menos funcionalidade | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Revisão periódica
ID: NIST SP 800-53 Rev. 4 CM-7 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 - Menos funcionalidade | Revisão periódica | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1217 - Menos funcionalidade | Revisão periódica | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Impedir a execução do programa
ID: NIST SP 800-53 Rev. 4 CM-7 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1218 - Menos funcionalidade | Impedir a execução do programa | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Software Autorizado / Lista Branca
ID: NIST SP 800-53 Rev. 4 CM-7 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1219 - Menos funcionalidade | Software Autorizado / Lista Branca | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1220 - Menos funcionalidade | Software Autorizado / Lista Branca | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1221 - Menos funcionalidade | Software Autorizado / Lista Branca | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Inventário de componentes do sistema de informação
ID: NIST SP 800-53 Rev. 4 CM-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 - Inventário de componentes do sistema de informação | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1223 - Inventário de componentes do sistema de informação | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Atualizações durante instalações / remoções
ID: NIST SP 800-53 Rev. 4 CM-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 - Inventário de componentes do sistema de informação | Atualizações durante instalações / remoções | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Manutenção Automatizada
ID: NIST SP 800-53 Rev. 4 CM-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 - Inventário de componentes do sistema de informação | Manutenção Automatizada | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Deteção automatizada de componentes não autorizados
ID: NIST SP 800-53 Rev. 4 CM-8 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 - Inventário de componentes do sistema de informação | Deteção automatizada de componentes não autorizados | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1227 - Inventário de componentes do sistema de informação | Deteção automatizada de componentes não autorizados | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Informações sobre prestação de contas
ID: NIST SP 800-53 Rev. 4 CM-8 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 - Inventário de componentes do sistema de informação | Informações sobre prestação de contas | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Sem duplicação de contabilidade de componentes
ID: NIST SP 800-53 Rev. 4 CM-8 (5) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1229 - Inventário de componentes do sistema de informação | Sem duplicação de contabilidade de componentes | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Plano de gerenciamento de configuração
ID: NIST SP 800-53 Rev. 4 CM-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 - Plano de Gerenciamento de Configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1231 - Plano de Gerenciamento de Configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1232 - Plano de Gerenciamento de Configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1233 - Plano de Gerenciamento de Configuração | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Restrições de uso de software
ID: NIST SP 800-53 Rev. 4 CM-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1234 - Restrições de uso de software | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1235 - Restrições de uso de software | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1236 - Restrições de uso de software | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Software de código aberto
ID: NIST SP 800-53 Rev. 4 CM-10 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 - Restrições de uso de software | Software de código aberto | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Software instalado pelo usuário
ID: NIST SP 800-53 Rev. 4 CM-11 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1238 - Software instalado pelo usuário | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1239 - Software instalado pelo usuário | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
| Microsoft Managed Control 1240 - Software instalado pelo usuário | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Alertas para instalações não autorizadas
ID: NIST SP 800-53 Rev. 4 CM-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1241 - Software instalado pelo usuário | Alertas para instalações não autorizadas | A Microsoft implementa esse controle de gerenciamento de configuração | auditoria | 1.0.0 |
Planos de Contingência
Política e Procedimentos de Planeamento de Contingência
ID: NIST SP 800-53 Rev. 4 CP-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 - Política e procedimentos de planejamento de contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1243 - Política e procedimentos de planejamento de contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Plano de Contingência
ID: NIST SP 800-53 Rev. 4 CP-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1245 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1246 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1247 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1248 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1249 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1250 - Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Coordenar com planos relacionados
ID: NIST SP 800-53 Rev. 4 CP-2 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 - Plano de Contingência | Coordenar com planos relacionados | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Planeamento da Capacidade
ID: NIST SP 800-53 Rev. 4 CP-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 - Plano de Contingência | Planejamento de capacidade | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Retomar Missões Essenciais / Funções Empresariais
ID: NIST SP 800-53 Rev. 4 CP-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 - Plano de Contingência | Retomar Missões Essenciais / Funções Empresariais | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Retomar todas as missões / funções de negócios
ID: NIST SP 800-53 Rev. 4 CP-2 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1254 - Plano de Contingência | Retomar todas as missões / funções de negócios | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Continuar Missões Essenciais / Funções Empresariais
ID: NIST SP 800-53 Rev. 4 CP-2 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 - Plano de Contingência | Continuar Missões Essenciais / Funções Empresariais | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Identificar ativos críticos
ID: NIST SP 800-53 Rev. 4 CP-2 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 - Plano de Contingência | Identificar ativos críticos | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Formação de Contingência
ID: NIST SP 800-53 Rev. 4 CP-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 - Treinamento de contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1258 - Treinamento de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1259 - Treinamento de contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Eventos Simulados
ID: NIST SP 800-53 Rev. 4 CP-3 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 - Treinamento de contingência | Eventos Simulados | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Testes de planos de contingência
ID: NIST SP 800-53 Rev. 4 CP-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 - Teste do Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1262 - Teste do plano de contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1263 - Teste do Plano de Contingência | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Coordenar com planos relacionados
ID: NIST SP 800-53 Rev. 4 CP-4 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 - Testes do Plano de Contingência | Coordenar com planos relacionados | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Local de processamento alternativo
ID: NIST SP 800-53 Rev. 4 CP-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 - Teste do plano de contingência | Local de processamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1266 - Testes do Plano de Contingência | Local de processamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Local de armazenamento alternativo
ID: NIST SP 800-53 Rev. 4 CP-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
| Microsoft Managed Control 1267 - Site de armazenamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1268 - Site de armazenamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Separação do local primário
ID: NIST SP 800-53 Rev. 4 CP-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O armazenamento com redundância geográfica deve ser habilitado para contas de armazenamento | Use redundância geográfica para criar aplicativos altamente disponíveis | Auditoria, Desativado | 1.0.0 |
| O backup com redundância geográfica de longo prazo deve ser habilitado para os Bancos de Dados SQL do Azure | Esta política audita qualquer Banco de Dados SQL do Azure com backup com redundância geográfica de longo prazo não habilitado. | AuditIfNotExists, desativado | 2.0.0 |
| Microsoft Managed Control 1269 - Site de armazenamento alternativo | Separação do local primário | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Objetivos de Tempo de Recuperação/Ponto
ID: NIST SP 800-53 Rev. 4 CP-6 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 - Site de armazenamento alternativo | Objetivos de Tempo de Recuperação/Ponto | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Acessibilidade
ID: NIST SP 800-53 Rev. 4 CP-6 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 - Site de armazenamento alternativo | Acessibilidade | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Local de processamento alternativo
ID: NIST SP 800-53 Rev. 4 CP-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 - Site de processamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1273 - Site de processamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1274 - Site de processamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Separação do local primário
ID: NIST SP 800-53 Rev. 4 CP-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 - Site de processamento alternativo | Separação do local primário | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Acessibilidade
ID: NIST SP 800-53 Rev. 4 CP-7 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 - Site de processamento alternativo | Acessibilidade | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Prioridade de Serviço
ID: NIST SP 800-53 Rev. 4 CP-7 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 - Site de processamento alternativo | Prioridade de Serviço | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Preparação para uso
ID: NIST SP 800-53 Rev. 4 CP-7 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 - Site de processamento alternativo | Preparação para uso | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Serviços de Telecomunicações
ID: NIST SP 800-53 Rev. 4 CP-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 - Serviços de Telecomunicações | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Prioridade da prestação de serviços
ID: NIST SP 800-53 Rev. 4 CP-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 - Serviços de Telecomunicações | Prioridade da prestação de serviços | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1281 - Serviços de Telecomunicações | Prioridade da prestação de serviços | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Pontos únicos de falha
ID: NIST SP 800-53 Rev. 4 CP-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 - Serviços de Telecomunicações | Pontos únicos de falha | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Separação de Fornecedores Primários / Alternativos
ID: NIST SP 800-53 Rev. 4 CP-8 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 - Serviços de Telecomunicações | Separação de Fornecedores Primários / Alternativos | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Plano de Contingência do Provedor
ID: NIST SP 800-53 Rev. 4 CP-8 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 - Serviços de Telecomunicações | Plano de Contingência do Provedor | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1285 - Serviços de Telecomunicações | Plano de Contingência do Provedor | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1286 - Serviços de Telecomunicações | Plano de Contingência do Provedor | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Backup do sistema de informações
ID: NIST SP 800-53 Rev. 4 CP-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
| Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
| Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
| Microsoft Managed Control 1287 - Backup do Sistema de Informação | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1288 - Backup do Sistema de Informação | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1289 - Backup do Sistema de Informação | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
| Microsoft Managed Control 1290 - Backup do Sistema de Informação | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Testes de confiabilidade/integridade
ID: NIST SP 800-53 Rev. 4 CP-9 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 - Backup do Sistema de Informação | Testes de confiabilidade/integridade | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Restauração de teste usando amostragem
ID: NIST SP 800-53 Rev. 4 CP-9 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 - Backup do Sistema de Informação | Restauração de teste usando amostragem | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Armazenamento separado para informações críticas
ID: NIST SP 800-53 Rev. 4 CP-9 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 - Backup do Sistema de Informação | Armazenamento separado para informações críticas | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Transferência para local de armazenamento alternativo
ID: NIST SP 800-53 Rev. 4 CP-9 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 - Backup do Sistema de Informação | Transferência para local de armazenamento alternativo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Recuperação e Reconstituição do Sistema de Informação
ID: NIST SP 800-53 Rev. 4 CP-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 - Recuperação e reconstituição do sistema de informação | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Recuperação de transações
ID: NIST SP 800-53 Rev. 4 CP-10 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 - Recuperação e reconstituição do sistema de informação | Recuperação de transações | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Restaurar dentro do período de tempo
ID: NIST SP 800-53 Rev. 4 CP-10 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 - Recuperação e reconstituição do sistema de informação | Restaurar dentro do período de tempo | A Microsoft implementa esse controle de planejamento de contingência | auditoria | 1.0.0 |
Identificação e autenticação
Política e procedimentos de identificação e autenticação
ID: NIST SP 800-53 Rev. 4 IA-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 - Política e procedimentos de identificação e autenticação | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1299 - Política e procedimentos de identificação e autenticação | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e autenticação (usuários organizacionais)
ID: NIST SP 800-53 Rev. 4 IA-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1300 - Identificação e autenticação do usuário | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Acesso de rede a contas privilegiadas
ID: NIST SP 800-53 Rev. 4 IA-2 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Managed Control 1301 - Identificação e autenticação do usuário | Acesso de rede a contas privilegiadas | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso de rede a contas não privilegiadas
ID: NIST SP 800-53 Rev. 4 IA-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Managed Control 1302 - Identificação e autenticação do usuário | Acesso de rede a contas não privilegiadas | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso local a contas privilegiadas
ID: NIST SP 800-53 Rev. 4 IA-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1303 - Identificação e autenticação do usuário | Acesso local a contas privilegiadas | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso local a contas não privilegiadas
ID: NIST SP 800-53 Rev. 4 IA-2 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1304 - Identificação e autenticação do usuário | Acesso local a contas não privilegiadas | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação de grupo
ID: NIST SP 800-53 Rev. 4 IA-2 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 - Identificação e autenticação do usuário | Autenticação de grupo | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso de rede a contas privilegiadas - Resistente a repetição
ID: NIST SP 800-53 Rev. 4 IA-2 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 - Identificação e autenticação do usuário | Acesso de rede a contas privilegiadas - Replay... | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso de rede a contas não privilegiadas - Resistente a repetição
ID: NIST SP 800-53 Rev. 4 IA-2 (9) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1307 - Identificação e autenticação do usuário | Acesso de rede a contas não privilegiadas - Replay... | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Acesso Remoto - Dispositivo separado
ID: NIST SP 800-53 Rev. 4 IA-2 (11) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1308 - Identificação e autenticação do usuário | Acesso Remoto - Dispositivo separado | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de credenciais Piv
ID: NIST SP 800-53 Rev. 4 IA-2 (12) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 - Identificação e autenticação do usuário | Aceitação de credenciais Piv | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e autenticação do dispositivo
ID: NIST SP 800-53 Rev. 4 IA-3 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 - Identificação e autenticação de dispositivos | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Gestão de Identificadores
ID: NIST SP 800-53 Rev. 4 IA-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1311 - Gestão de Identificadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1312 - Gerenciamento de Identificadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1313 - Gestão de Identificadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1314 - Gestão de Identificadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1315 - Gestão de Identificadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Identificar o status do usuário
ID: NIST SP 800-53 Rev. 4 IA-4 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 - Gerenciamento de identificadores | Identificar o status do usuário | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Gerenciamento de autenticador
ID: NIST SP 800-53 Rev. 4 IA-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 1.4.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 1.0.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1318 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1319 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1320 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1321 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1322 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1323 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1324 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1325 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1326 - Gerenciamento de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação baseada em senha
ID: NIST SP 800-53 Rev. 4 IA-5 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 1.4.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 1.0.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 1.0.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1328 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1329 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1330 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1331 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1332 - Gerenciamento de autenticadores | Autenticação baseada em senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação baseada em Pki
ID: NIST SP 800-53 Rev. 4 IA-5 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 - Gerenciamento de autenticadores | Autenticação baseada em Pki | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1334 - Gerenciamento de autenticadores | Autenticação baseada em Pki | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1335 - Gerenciamento de autenticadores | Autenticação baseada em Pki | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
| Microsoft Managed Control 1336 - Gerenciamento de autenticadores | Autenticação baseada em Pki | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Registo Presencial ou de Terceiros Fidedignos
ID: NIST SP 800-53 Rev. 4 IA-5 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1337 - Gerenciamento de autenticadores | Registo Presencial ou de Terceiros Fidedignos | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Suporte automatizado para determinação da força da senha
ID: NIST SP 800-53 Rev. 4 IA-5 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1338 - Gerenciamento de autenticadores | Suporte automatizado para determinação da força da senha | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Proteção de autenticadores
ID: NIST SP 800-53 Rev. 4 IA-5 (6) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 - Gerenciamento de autenticadores | Proteção de autenticadores | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Sem autenticadores estáticos não criptografados incorporados
ID: NIST SP 800-53 Rev. 4 IA-5 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 - Gerenciamento de autenticadores | Sem autenticadores estáticos não criptografados incorporados | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Contas Múltiplas do Sistema de Informação
ID: NIST SP 800-53 Rev. 4 IA-5 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 - Gerenciamento de autenticadores | Contas Múltiplas do Sistema de Informação | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação baseada em token de hardware
ID: NIST SP 800-53 Rev. 4 IA-5 (11) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1342 - Gerenciamento de autenticadores | Autenticação baseada em token de hardware | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Expiração de autenticadores em cache
ID: NIST SP 800-53 Rev. 4 IA-5 (13) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 - Gerenciamento de autenticadores | Expiração de autenticadores em cache | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Feedback do autenticador
ID: NIST SP 800-53 Rev. 4 IA-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 - Comentários do autenticador | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Autenticação de módulo criptográfico
ID: NIST SP 800-53 Rev. 4 IA-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 - Autenticação de módulo criptográfico | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Identificação e autenticação (usuários não organizacionais)
ID: NIST SP 800-53 Rev. 4 IA-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 - Identificação e autenticação (usuários não organizacionais) | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de credenciais Piv de outras agências
ID: NIST SP 800-53 Rev. 4 IA-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 - Identificação e autenticação (usuários não organizacionais) | Aceitação de credenciais Piv... | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Aceitação de credenciais de terceiros
ID: NIST SP 800-53 Rev. 4 IA-8 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 - Identificação e autenticação (usuários não organizacionais) | Aceitação de Terceiros... | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Uso de produtos aprovados pela Ficam
ID: NIST SP 800-53 Rev. 4 IA-8 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1349 - Identificação e autenticação (usuários não organizacionais) | Uso de produtos aprovados pela Ficam | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Uso de perfis emitidos pela Ficam
ID: NIST SP 800-53 Rev. 4 IA-8 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 - Identificação e autenticação (usuários não organizacionais) | Uso de perfis emitidos pela Ficam | A Microsoft implementa este controlo de Identificação e Autenticação | auditoria | 1.0.0 |
Resposta ao Incidente
Política e procedimentos de resposta a incidentes
ID: NIST SP 800-53 Rev. 4 IR-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 - Política e procedimentos de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1352 - Política e procedimentos de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Treinamento de resposta a incidentes
ID: NIST SP 800-53 Rev. 4 IR-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 - Treinamento de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1354 - Treinamento de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1355 - Treinamento de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Eventos Simulados
ID: NIST SP 800-53 Rev. 4 IR-2 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 - Treinamento de resposta a incidentes | Eventos Simulados | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Ambientes de treinamento automatizados
ID: NIST SP 800-53 Rev. 4 IR-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 - Treinamento de resposta a incidentes | Ambientes de treinamento automatizados | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Testes de resposta a incidentes
ID: NIST SP 800-53 Rev. 4 IR-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 - Teste de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Coordenação com planos relacionados
ID: NIST SP 800-53 Rev. 4 IR-3 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 - Testes de resposta a incidentes | Coordenação com planos relacionados | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Tratamento de Incidentes
ID: NIST SP 800-53 Rev. 4 IR-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1360 - Tratamento de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1361 - Tratamento de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1362 - Tratamento de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Processos automatizados de tratamento de incidentes
ID: NIST SP 800-53 Rev. 4 IR-4 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 - Tratamento de incidentes | Processos automatizados de tratamento de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Reconfiguração dinâmica
ID: NIST SP 800-53 Rev. 4 IR-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 - Tratamento de incidentes | Reconfiguração dinâmica | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Continuidade das operações
ID: NIST SP 800-53 Rev. 4 IR-4 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 - Tratamento de incidentes | Continuidade das operações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Correlação de informações
ID: NIST SP 800-53 Rev. 4 IR-4 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 - Tratamento de incidentes | Correlação de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Ameaças internas - capacidades específicas
ID: NIST SP 800-53 Rev. 4 IR-4 (6) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 - Tratamento de incidentes | Ameaças internas - capacidades específicas | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Correlação com organizações externas
ID: NIST SP 800-53 Rev. 4 IR-4 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 - Tratamento de incidentes | Correlação com organizações externas | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Monitorização de Incidentes
ID: NIST SP 800-53 Rev. 4 IR-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1369 - Monitoramento de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Rastreamento automatizado / Coleta de dados / Análise
ID: NIST SP 800-53 Rev. 4 IR-5 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 - Monitoramento de incidentes | Rastreamento automatizado / Coleta de dados / Análise | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Comunicação de incidentes
ID: NIST SP 800-53 Rev. 4 IR-6 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 - Relatório de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1372 - Relatório de incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Relatórios automatizados
ID: NIST SP 800-53 Rev. 4 IR-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 - Relatório de incidentes | Relatórios automatizados | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Vulnerabilidades relacionadas a incidentes
ID: NIST SP 800-53 Rev. 4 IR-6 (2) Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Assistência de Resposta a Incidentes
ID: NIST SP 800-53 Rev. 4 IR-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 - Assistência de resposta a incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Suporte de automação para disponibilidade de informações / suporte
ID: NIST SP 800-53 Rev. 4 IR-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 - Assistência de resposta a incidentes | Suporte de automação para disponibilidade de informações / suporte | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Coordenação com fornecedores externos
ID: NIST SP 800-53 Rev. 4 IR-7 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 - Assistência de resposta a incidentes | Coordenação com fornecedores externos | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1377 - Assistência de resposta a incidentes | Coordenação com fornecedores externos | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Plano de Resposta a Incidentes
ID: NIST SP 800-53 Rev. 4 IR-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1379 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1380 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1381 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1382 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1383 - Plano de Resposta a Incidentes | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Resposta a derrames de informação
ID: NIST SP 800-53 Rev. 4 IR-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1384 - Resposta de derramamento de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1385 - Resposta de derramamento de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1386 - Resposta de derramamento de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1387 - Resposta a derrames de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1388 - Resposta de derramamento de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
| Microsoft Managed Control 1389 - Resposta de derramamento de informações | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Pessoal Responsável
ID: NIST SP 800-53 Rev. 4 IR-9 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1390 - Resposta a derrames de informação | Pessoal Responsável | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Formação
ID: NIST SP 800-53 Rev. 4 IR-9 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 - Resposta a derrames de informação | Formação | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Operações pós-derramamento
ID: NIST SP 800-53 Rev. 4 IR-9 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 - Resposta a derrames de informação | Operações pós-derramamento | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Exposição a pessoal não autorizado
ID: NIST SP 800-53 Rev. 4 IR-9 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 - Resposta a derrames de informações | Exposição a pessoal não autorizado | A Microsoft implementa este controlo de Resposta a Incidentes | auditoria | 1.0.0 |
Manutenção
Política e Procedimentos de Manutenção do Sistema
ID: NIST SP 800-53 Rev. 4 MA-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 - Política e procedimentos de manutenção do sistema | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1395 - Política e procedimentos de manutenção do sistema | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Manutenção Controlada
ID: NIST SP 800-53 Rev. 4 MA-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 - Manutenção controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1397 - Manutenção controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1398 - Manutenção controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1399 - Manutenção Controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1400 - Manutenção Controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1401 - Manutenção controlada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Atividades de manutenção automatizadas
ID: NIST SP 800-53 Rev. 4 MA-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 - Manutenção controlada | Atividades de manutenção automatizadas | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1403 - Manutenção controlada | Atividades de manutenção automatizadas | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Ferramentas de Manutenção
ID: NIST SP 800-53 Rev. 4 MA-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 - Ferramentas de Manutenção | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Inspecionar ferramentas
ID: NIST SP 800-53 Rev. 4 MA-3 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 - Ferramentas de Manutenção | Inspecionar ferramentas | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Inspecionar Mídia
ID: NIST SP 800-53 Rev. 4 MA-3 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 - Ferramentas de Manutenção | Inspecionar Mídia | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Impedir a remoção não autorizada
ID: NIST SP 800-53 Rev. 4 MA-3 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 - Ferramentas de Manutenção | Impedir a remoção não autorizada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1408 - Ferramentas de Manutenção | Impedir a remoção não autorizada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1409 - Ferramentas de manutenção | Impedir a remoção não autorizada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1410 - Ferramentas de Manutenção | Impedir a remoção não autorizada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Manutenção não local
ID: NIST SP 800-53 Rev. 4 MA-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 - Manutenção remota | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1412 - Manutenção remota | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1413 - Manutenção remota | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1414 - Manutenção remota | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1415 - Manutenção remota | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Manutenção não local de documentos
ID: NIST SP 800-53 Rev. 4 MA-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1416 - Manutenção remota | Manutenção remota de documentos | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Segurança / Sanitização Comparável
ID: NIST SP 800-53 Rev. 4 MA-4 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 - Manutenção remota | Segurança / Sanitização Comparável | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1418 - Manutenção remota | Segurança / Sanitização Comparável | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 4 MA-4 (6) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 - Manutenção remota | Proteção criptográfica | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Pessoal de Manutenção
ID: NIST SP 800-53 Rev. 4 MA-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 - Pessoal de manutenção | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1421 - Pessoal de manutenção | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1422 - Pessoal de manutenção | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Indivíduos sem acesso adequado
ID: NIST SP 800-53 Rev. 4 MA-5 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 - Pessoal de manutenção | Indivíduos sem acesso adequado | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
| Microsoft Managed Control 1424 - Pessoal de manutenção | Indivíduos sem acesso adequado | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Manutenção atempada
ID: NIST SP 800-53 Rev. 4 MA-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 - Manutenção atempada | A Microsoft implementa este controlo de manutenção | auditoria | 1.0.0 |
Proteção dos meios de comunicação social
Política e procedimentos de proteção dos meios de comunicação social
ID: NIST SP 800-53 Rev. 4 MP-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 - Política e procedimentos de proteção de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1427 - Política e procedimentos de proteção de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Acesso à Mídia
ID: NIST SP 800-53 Rev. 4 MP-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 - Acesso à Mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Marcação de mídia
ID: NIST SP 800-53 Rev. 4 MP-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 - Etiquetagem de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1430 - Etiquetagem de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Armazenamento de mídia
ID: NIST SP 800-53 Rev. 4 MP-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 - Armazenamento de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1432 - Armazenamento de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Transporte de Mídia
ID: NIST SP 800-53 Rev. 4 MP-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 - Transporte de Mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1434 - Transporte de Mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1435 - Transporte de Mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1436 - Transporte de Mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 4 MP-5 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1437 - Transporte de Mídia | Proteção criptográfica | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Higienização de Mídia
ID: NIST SP 800-53 Rev. 4 MP-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 - Higienização e eliminação de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
| Microsoft Managed Control 1439 - Higienização e eliminação de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Rever / Aprovar / Acompanhar / Documentar / Verificar
ID: NIST SP 800-53 Rev. 4 MP-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 - Higienização e eliminação de mídia | Rever / Aprovar / Acompanhar / Documentar / Verificar | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Testes de Equipamentos
ID: NIST SP 800-53 Rev. 4 MP-6 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 - Higienização e eliminação de mídia | Testes de Equipamentos | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Técnicas Não Destrutivas
ID: NIST SP 800-53 Rev. 4 MP-6 (3) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 - Higienização e eliminação de mídia | Técnicas Não Destrutivas | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Utilização dos meios de comunicação social
ID: NIST SP 800-53 Rev. 4 MP-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 - Uso de mídia | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Proibir Uso Sem Proprietário
ID: NIST SP 800-53 Rev. 4 MP-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1444 - Uso de mídia | Proibir Uso Sem Proprietário | A Microsoft implementa esse controle de proteção de mídia | auditoria | 1.0.0 |
Proteção Física e Ambiental
Política e Procedimentos de Proteção Física e Ambiental
ID: NIST SP 800-53 Rev. 4 PE-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 - Política e procedimentos de proteção física e ambiental | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1446 - Política e procedimentos de proteção física e ambiental | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Autorizações de acesso físico
ID: NIST SP 800-53 Rev. 4 PE-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 - Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1448 - Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1449 - Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1450 - Autorizações de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controlo de Acesso Físico
ID: NIST SP 800-53 Rev. 4 PE-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1451 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1452 - Controle de acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1453 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1454 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1455 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1456 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1457 - Controle de Acesso Físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Acesso ao Sistema de Informação
ID: NIST SP 800-53 Rev. 4 PE-3 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 - Controle de acesso físico | Acesso ao Sistema de Informação | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controle de acesso para meio de transmissão
ID: NIST SP 800-53 Rev. 4 PE-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 - Controle de acesso para meio de transmissão | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controle de acesso para dispositivos de saída
ID: NIST SP 800-53 Rev. 4 PE-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 - Controle de acesso para dispositivos de saída | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitorando o acesso físico
ID: NIST SP 800-53 Rev. 4 PE-6 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 - Monitorando o acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1462 - Monitorando o acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1463 - Monitorando o acesso físico | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Alarmes de Intrusão / Equipamentos de Vigilância
ID: NIST SP 800-53 Rev. 4 PE-6 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 - Monitorando o acesso físico | Alarmes de Intrusão / Equipamentos de Vigilância | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitorização do Acesso Físico aos Sistemas de Informação
ID: NIST SP 800-53 Rev. 4 PE-6 (4) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 - Monitorando o acesso físico | Monitorização do Acesso Físico aos Sistemas de Informação | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Registos de Acesso de Visitantes
ID: NIST SP 800-53 Rev. 4 PE-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 - Registos de Acesso de Visitantes | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1467 - Registos de Acesso de Visitantes | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Manutenção/revisão automatizada de registros
ID: NIST SP 800-53 Rev. 4 PE-8 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 - Registos de Acesso de Visitantes | Manutenção/revisão automatizada de registros | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Equipamentos De Energia E Cablagem
ID: NIST SP 800-53 Rev. 4 PE-9 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 - Equipamentos de alimentação e cabeamento | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Desligamento de emergência
ID: NIST SP 800-53 Rev. 4 PE-10 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 - Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1471 - Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1472 - Desligamento de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Energia de Emergência
ID: NIST SP 800-53 Rev. 4 PE-11 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 - Energia de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Fonte de alimentação alternativa de longo prazo - capacidade operacional mínima
ID: NIST SP 800-53 Rev. 4 PE-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 - Energia de emergência | Fonte de alimentação alternativa de longo prazo - capacidade operacional mínima | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Iluminação de emergência
ID: NIST SP 800-53 Rev. 4 PE-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 - Iluminação de emergência | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Proteção Contra Incêndios
ID: NIST SP 800-53 Rev. 4 PE-13 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 - Proteção contra incêndios | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Dispositivos / Sistemas de Deteção
ID: NIST SP 800-53 Rev. 4 PE-13 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 - Proteção contra incêndios | Dispositivos / Sistemas de Deteção | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Dispositivos / Sistemas de Supressão
ID: NIST SP 800-53 Rev. 4 PE-13 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 - Proteção contra incêndios | Dispositivos / Sistemas de Supressão | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Supressão Automática de Incêndios
ID: NIST SP 800-53 Rev. 4 PE-13 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1479 - Proteção contra incêndios | Supressão Automática de Incêndios | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Controles de temperatura e umidade
ID: NIST SP 800-53 Rev. 4 PE-14 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 - Controles de temperatura e umidade | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1481 - Controles de temperatura e umidade | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Monitorização com Alarmes / Notificações
ID: NIST SP 800-53 Rev. 4 PE-14 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 - Controles de temperatura e umidade | Monitorização com Alarmes / Notificações | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Proteção contra danos causados pela água
ID: NIST SP 800-53 Rev. 4 PE-15 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 - Proteção contra danos causados pela água | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Suporte de automação
ID: NIST SP 800-53 Rev. 4 PE-15 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 - Proteção contra danos causados pela água | Suporte de automação | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Entrega E Remoção
ID: NIST SP 800-53 Rev. 4 PE-16 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 - Entrega e remoção | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Local de Trabalho Alternativo
ID: NIST SP 800-53 Rev. 4 PE-17 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 - Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1487 - Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
| Microsoft Managed Control 1488 - Site de trabalho alternativo | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Localização dos componentes do sistema de informação
ID: NIST SP 800-53 Rev. 4 PE-18 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 - Localização dos componentes do sistema de informação | A Microsoft implementa esse controle de Proteção Física e Ambiental | auditoria | 1.0.0 |
Planeamento
Política e procedimentos de planejamento de segurança
ID: NIST SP 800-53 Rev. 4 PL-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 - Política e procedimentos de planejamento de segurança | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1491 - Política e procedimentos de planejamento de segurança | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Plano de Segurança do Sistema
ID: NIST SP 800-53 Rev. 4 PL-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 - Plano de Segurança do Sistema | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1493 - Plano de Segurança do Sistema | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1494 - Plano de Segurança do Sistema | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1495 - Plano de Segurança do Sistema | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1496 - Plano de Segurança do Sistema | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Planear/coordenar com outras entidades organizacionais
ID: NIST SP 800-53 Rev. 4 PL-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1497 - Plano de Segurança do Sistema | Planear/coordenar com outras entidades organizacionais | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Regras de Comportamento
ID: NIST SP 800-53 Rev. 4 PL-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 - Regras de comportamento | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1499 - Regras de comportamento | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1500 - Regras de comportamento | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1501 - Regras de comportamento | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Restrições de redes sociais e redes sociais
ID: NIST SP 800-53 Rev. 4 PL-4 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 - Regras de comportamento | Restrições de redes sociais e redes sociais | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Arquitetura de Segurança da Informação
ID: NIST SP 800-53 Rev. 4 PL-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 - Arquitetura de Segurança da Informação | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1504 - Arquitetura de Segurança da Informação | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
| Microsoft Managed Control 1505 - Arquitetura de Segurança da Informação | A Microsoft implementa esse controle de planejamento | auditoria | 1.0.0 |
Segurança Pessoal
Política e Procedimentos de Segurança Pessoal
ID: NIST SP 800-53 Rev. 4 PS-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 - Política e procedimentos de segurança pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1507 - Política e procedimentos de segurança pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Designação do Risco de Posição
ID: NIST SP 800-53 Rev. 4 PS-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 - Categorização de posição | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1509 - Categorização de posição | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1510 - Categorização de posição | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Triagem de pessoal
ID: NIST SP 800-53 Rev. 4 PS-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 - Triagem de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1512 - Triagem de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Informações com medidas especiais de proteção
ID: NIST SP 800-53 Rev. 4 PS-3 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 - Triagem de pessoal | Informações com medidas especiais de proteção | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1514 - Triagem de pessoal | Informações com medidas especiais de proteção | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Rescisão de Pessoal
ID: NIST SP 800-53 Rev. 4 PS-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1516 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1517 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1518 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1519 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1520 - Rescisão de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Notificação automatizada
ID: NIST SP 800-53 Rev. 4 PS-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 - Rescisão de pessoal | Notificação automatizada | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Transferência de Pessoal
ID: NIST SP 800-53 Rev. 4 PS-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 - Transferência de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1523 - Transferência de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1524 - Transferência de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1525 - Transferência de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Acordos de Acesso
ID: NIST SP 800-53 Rev. 4 PS-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 - Contratos de acesso | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1527 - Contratos de acesso | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1528 - Contratos de acesso | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Segurança de pessoal de terceiros
ID: NIST SP 800-53 Rev. 4 PS-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 - Segurança de pessoal de terceiros | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1530 - Segurança de pessoal de terceiros | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1531 - Segurança de pessoal de terceiros | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1532 - Segurança de pessoal de terceiros | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1533 - Segurança de pessoal de terceiros | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Sanções contra o pessoal
ID: NIST SP 800-53 Rev. 4 PS-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 - Sanções de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
| Microsoft Managed Control 1535 - Sanções de pessoal | A Microsoft implementa este controlo de Segurança Pessoal | auditoria | 1.0.0 |
Avaliação de Riscos
Política e Procedimentos de Avaliação de Riscos
ID: NIST SP 800-53 Rev. 4 RA-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 - Política e procedimentos de avaliação de risco | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1537 - Política e procedimentos de avaliação de risco | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Categorização de Segurança
ID: NIST SP 800-53 Rev. 4 RA-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 - Categorização de segurança | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1539 - Categorização de segurança | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1540 - Categorização de segurança | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Avaliação de Riscos
ID: NIST SP 800-53 Rev. 4 RA-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 - Avaliação de Riscos | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1542 - Avaliação de Riscos | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1543 - Avaliação de Riscos | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1544 - Avaliação de Riscos | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1545 - Avaliação de Riscos | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Análise de vulnerabilidades
ID: NIST SP 800-53 Rev. 4 RA-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1546 - Análise de vulnerabilidades | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1547 - Análise de vulnerabilidades | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1548 - Análise de vulnerabilidades | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1549 - Análise de vulnerabilidades | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Microsoft Managed Control 1550 - Análise de vulnerabilidades | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
| A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
| A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
| A avaliação de vulnerabilidades deve ser ativada em seus espaços de trabalho Synapse | Descubra, rastreie e corrija possíveis vulnerabilidades configurando verificações recorrentes de avaliação de vulnerabilidades SQL em seus espaços de trabalho Synapse. | AuditIfNotExists, desativado | 1.0.0 |
Capacidade da ferramenta de atualização
ID: NIST SP 800-53 Rev. 4 RA-5 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1551 - Análise de vulnerabilidades | Capacidade da ferramenta de atualização | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Atualização por frequência / Antes de nova varredura / Quando identificado
ID: NIST SP 800-53 Rev. 4 RA-5 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 - Análise de vulnerabilidades | Atualização por frequência / Antes de nova varredura / Quando identificado | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Amplitude / Profundidade de Cobertura
ID: NIST SP 800-53 Rev. 4 RA-5 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 - Análise de vulnerabilidades | Amplitude / Profundidade de Cobertura | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Informações detetáveis
ID: NIST SP 800-53 Rev. 4 RA-5 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 - Análise de vulnerabilidades | Informações detetáveis | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Acesso Privilegiado
ID: NIST SP 800-53 Rev. 4 RA-5 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 - Análise de vulnerabilidades | Acesso privilegiado | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Análises de tendências automatizadas
ID: NIST SP 800-53 Rev. 4 RA-5 (6) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 - Análise de vulnerabilidades | Análises de tendências automatizadas | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Revisar registros históricos de auditoria
ID: NIST SP 800-53 Rev. 4 RA-5 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 - Análise de vulnerabilidades | Revisar registros históricos de auditoria | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Correlacione informações de varredura
ID: NIST SP 800-53 Rev. 4 RA-5 (10) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 - Análise de vulnerabilidades | Correlacione informações de varredura | A Microsoft implementa este controlo de Avaliação de Risco | auditoria | 1.0.0 |
Aquisição de Sistemas e Serviços
Política e Procedimentos de Aquisição de Sistemas e Serviços
ID: NIST SP 800-53 Rev. 4 SA-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 - Política e procedimentos de aquisição de sistemas e serviços | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1560 - Política e procedimentos de aquisição de sistemas e serviços | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Alocação de recursos
ID: NIST SP 800-53 Rev. 4 SA-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 - Alocação de recursos | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1562 - Alocação de recursos | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1563 - Alocação de recursos | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Ciclo de Vida de Desenvolvimento do Sistema
ID: NIST SP 800-53 Rev. 4 SA-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1564 - Ciclo de Vida de Desenvolvimento do Sistema | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1565 - Ciclo de Vida de Desenvolvimento do Sistema | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1566 - Ciclo de Vida de Desenvolvimento do Sistema | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1567 - Ciclo de Vida de Desenvolvimento do Sistema | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Processo de Aquisição
ID: NIST SP 800-53 Rev. 4 SA-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1569 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1570 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1571 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1572 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1573 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1574 - Processo de Aquisições | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Propriedades funcionais dos controles de segurança
ID: NIST SP 800-53 Rev. 4 SA-4 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 - Processo de Aquisições | Propriedades funcionais dos controles de segurança | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Informações de projeto/implementação para controles de segurança
ID: NIST SP 800-53 Rev. 4 SA-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 - Processo de Aquisições | Informações de projeto/implementação para controles de segurança | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Plano de Monitorização Contínua
ID: NIST SP 800-53 Rev. 4 SA-4 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 - Processo de Aquisições | Plano de Monitorização Contínua | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Funções / Portas / Protocolos / Serviços em Uso
ID: NIST SP 800-53 Rev. 4 SA-4 (9) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 - Processo de Aquisições | Funções / Portas / Protocolos / Serviços em Uso | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Uso de produtos Piv aprovados
ID: NIST SP 800-53 Rev. 4 SA-4 (10) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 - Processo de Aquisições | Uso de produtos Piv aprovados | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Documentação do Sistema de Informação
ID: NIST SP 800-53 Rev. 4 SA-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 - Documentação do Sistema de Informação | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1581 - Documentação do Sistema de Informação | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1582 - Documentação do Sistema de Informação | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1583 - Documentação do Sistema de Informação | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1584 - Documentação do Sistema de Informação | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Princípios de Engenharia de Segurança
ID: NIST SP 800-53 Rev. 4 SA-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 - Princípios de engenharia de segurança | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Serviços de Sistemas de Informação Externos
ID: NIST SP 800-53 Rev. 4 SA-9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 - Serviços do Sistema de Informação Externo | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1587 - Serviços de Sistema de Informação Externo | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1588 - Serviços de Sistema de Informação Externo | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Avaliações de Risco / Aprovações Organizacionais
ID: NIST SP 800-53 Rev. 4 SA-9 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 - Serviços de Sistema de Informação Externo | Avaliações de Risco / Aprovações Organizacionais | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1590 - Serviços do Sistema de Informação Externo | Avaliações de Risco / Aprovações Organizacionais | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Identificação de Funções / Portas / Protocolos / Serviços
ID: NIST SP 800-53 Rev. 4 SA-9 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 - Serviços de Sistema de Informação Externo | Identificação de Funções / Portas / Protocolos... | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Interesses consistentes de consumidores e fornecedores
ID: NIST SP 800-53 Rev. 4 SA-9 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 - Serviços de Sistema de Informação Externo | Interesses consistentes de consumidores e fornecedores | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Local de processamento, armazenamento e serviço
ID: NIST SP 800-53 Rev. 4 SA-9 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 - Serviços de Sistema de Informação Externo | Local de processamento, armazenamento e serviço | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Gerenciamento de configuração do desenvolvedor
ID: NIST SP 800-53 Rev. 4 SA-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 - Gerenciamento de configuração do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1595 - Gerenciamento de configuração do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1596 - Gerenciamento de configuração do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1597 - Gerenciamento de configuração do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1598 - Gerenciamento de configuração do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Verificação de Integridade de Software/Firmware
ID: NIST SP 800-53 Rev. 4 SA-10 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 - Gerenciamento de configuração do desenvolvedor | Verificação de Integridade de Software/Firmware | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Testes e avaliação de segurança do desenvolvedor
ID: NIST SP 800-53 Rev. 4 SA-11 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 - Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1601 - Testes e avaliação de segurança do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1602 - Teste e avaliação de segurança do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1603 - Teste e avaliação de segurança do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1604 - Teste e avaliação de segurança do desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Análise estática de código
ID: NIST SP 800-53 Rev. 4 SA-11 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 - Testes e avaliação de segurança para desenvolvedores | Análise estática de código | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Análise de ameaças e vulnerabilidades
ID: NIST SP 800-53 Rev. 4 SA-11 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 - Testes e avaliação de segurança para desenvolvedores | Análise de ameaças e vulnerabilidades | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Análise Dinâmica de Código
ID: NIST SP 800-53 Rev. 4 SA-11 (8) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 - Testes e avaliação de segurança para desenvolvedores | Análise Dinâmica de Código | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Proteção da cadeia de suprimentos
ID: NIST SP 800-53 Rev. 4 SA-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1608 - Proteção da cadeia de suprimentos | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Processo de desenvolvimento, padrões e ferramentas
ID: NIST SP 800-53 Rev. 4 SA-15 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 - Processo de desenvolvimento, padrões e ferramentas | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1610 - Processo de desenvolvimento, padrões e ferramentas | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Treinamento fornecido pelo desenvolvedor
ID: NIST SP 800-53 Rev. 4 SA-16 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 - Treinamento fornecido pelo desenvolvedor | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Arquitetura e design de segurança do desenvolvedor
ID: NIST SP 800-53 Rev. 4 SA-17 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 - Arquitetura e design de segurança para desenvolvedores | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1613 - Arquitetura e design de segurança para desenvolvedores | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
| Microsoft Managed Control 1614 - Arquitetura e design de segurança para desenvolvedores | A Microsoft implementa este controle de aquisição de sistemas e serviços | auditoria | 1.0.0 |
Proteção de Sistemas e Comunicações
Política e Procedimentos de Proteção de Sistemas e Comunicações
ID: NIST SP 800-53 Rev. 4 SC-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 - Política e procedimentos de proteção de sistemas e comunicações | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1616 - Política e procedimentos de proteção de sistemas e comunicações | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Particionamento de aplicativos
ID: NIST SP 800-53 Rev. 4 SC-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 - Particionamento de aplicativos | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Isolamento da função de segurança
ID: NIST SP 800-53 Rev. 4 SC-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Managed Control 1618 - Isolamento da função de segurança | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 1.1.1 |
Informações em recursos compartilhados
ID: NIST SP 800-53 Rev. 4 SC-4 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 - Informações em recursos compartilhados | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Proteção contra negação de serviço
ID: NIST SP 800-53 Rev. 4 SC-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1620 - Proteção contra negação de serviço | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Disponibilidade do Recurso
ID: NIST SP 800-53 Rev. 4 SC-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 - Disponibilidade de recursos | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Proteção de Fronteiras
ID: NIST SP 800-53 Rev. 4 SC-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
| [Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 1.4.1 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1622 - Proteção de Limites | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1623 - Proteção de limites | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1624 - Proteção de limites | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Pontos de Acesso
ID: NIST SP 800-53 Rev. 4 SC-7 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Preterido]: os serviços de Pesquisa Cognitiva do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para a Pesquisa Cognitiva do Azure, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Desativado | 1.0.1-preterido |
| [Preterido]: Serviços Cognitivos devem usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para Serviços Cognitivos, você reduzirá o potencial de vazamento de dados. Saiba mais sobre links privados em: https://go.microsoft.com/fwlink/?linkid=2129800. | Auditoria, Desativado | 3.0.1-preterido |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
| A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
| Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.0 |
| Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
| O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| O serviço de Pesquisa Cognitiva do Azure deve usar uma SKU que ofereça suporte ao link privado | Com SKUs suportadas da Pesquisa Cognitiva do Azure, o Azure Private Link permite-lhe ligar a sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para o seu serviço de pesquisa, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| Os serviços da Pesquisa Cognitiva do Azure devem desativar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa Cognitiva do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do seu serviço de Pesquisa. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
| O Azure Data Factory deve usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, desativado | 1.0.0 |
| Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
| O Azure File Sync deve usar o link privado | A criação de um ponto de extremidade privado para o recurso do Serviço de Sincronização de Armazenamento indicado permite que você aborde o recurso do Serviço de Sincronização de Armazenamento a partir do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 1.4.1 |
| Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
| Os namespaces do Barramento de Serviço do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Service Bus, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Synapse devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o espaço de trabalho do Azure Synapse, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Auditoria, Desativado | 1.0.1 |
| O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
| Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
| Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
| As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
| Os recursos de acesso ao disco devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, desativado | 1.0.0 |
| Os namespaces do Hub de Eventos devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, desativado | 1.0.0 |
| As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As instâncias de serviço de provisionamento de dispositivos do Hub IoT devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos do Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://aka.ms/iotdpsvnet. | Auditoria, Desativado | 1.0.0 |
| O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
| As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
| Microsoft Managed Control 1625 - Proteção de limites | Pontos de Acesso | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
| As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
| O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
| As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
| As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
| O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
Serviços de Telecomunicações Externas
ID: NIST SP 800-53 Rev. 4 SC-7 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1626 - Proteção de limites | Serviços de Telecomunicações Externas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1627 - Proteção de limites | Serviços de Telecomunicações Externas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1628 - Proteção de limites | Serviços de Telecomunicações Externas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1629 - Proteção de limites | Serviços de Telecomunicações Externas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1630 - Proteção de limites | Serviços de Telecomunicações Externas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Negar por padrão / Permitir por exceção
ID: NIST SP 800-53 Rev. 4 SC-7 (5) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1631 - Proteção de limites | Negar por padrão / Permitir por exceção | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Impedir tunelamento dividido para dispositivos remotos
ID: NIST SP 800-53 Rev. 4 SC-7 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 - Proteção de limites | Impedir tunelamento dividido para dispositivos remotos | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Rotear tráfego para servidores proxy autenticados
ID: NIST SP 800-53 Rev. 4 SC-7 (8) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 - Proteção de limites | Rotear tráfego para servidores proxy autenticados | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Impedir a exfiltração não autorizada
ID: NIST SP 800-53 Rev. 4 SC-7 (10) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 - Proteção de limites | Impedir a exfiltração não autorizada | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Proteção baseada em host
ID: NIST SP 800-53 Rev. 4 SC-7 (12) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 - Proteção de limites | Proteção baseada em host | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Isolamento de ferramentas de segurança / mecanismos / componentes de suporte
ID: NIST SP 800-53 Rev. 4 SC-7 (13) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 - Proteção de limites | Isolamento de ferramentas de segurança / mecanismos / componentes de suporte | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Falha Segura
ID: NIST SP 800-53 Rev. 4 SC-7 (18) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 - Proteção de limites | Falha Segura | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Isolamento Dinâmico / Segregação
ID: NIST SP 800-53 Rev. 4 SC-7 (20) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 - Proteção de limites | Isolamento Dinâmico / Segregação | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Isolamento de componentes do sistema de informação
ID: NIST SP 800-53 Rev. 4 SC-7 (21) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 - Proteção de limites | Isolamento de componentes do sistema de informação | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Confidencialidade e integridade da transmissão
ID: NIST SP 800-53 Rev. 4 SC-8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria, Negar, Desativado | 1.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| Microsoft Managed Control 1640 - Confidencialidade e integridade da transmissão | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 3.0.1 |
Proteção física criptográfica ou alternativa
ID: NIST SP 800-53 Rev. 4 SC-8 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster do Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster do Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria, Negar, Desativado | 1.0.0 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.0.1 |
| Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 9.1.0 |
| Microsoft Managed Control 1641 - Confidencialidade e integridade da transmissão | Proteção física criptográfica ou alternativa | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 3.0.1 |
Desconexão de rede
ID: NIST SP 800-53 Rev. 4 SC-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1642 - Desconexão de rede | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Estabelecimento e gerenciamento de chaves criptográficas
ID: NIST SP 800-53 Rev. 4 SC-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os cofres dos Serviços de Recuperação do Azure devem utilizar chaves geridas pelo cliente para encriptar dados de cópia de segurança | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados de backup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/AB-CmkEncryption. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| [Visualização]: os dados do serviço de provisionamento de dispositivos do Hub IoT devem ser criptografados usando chaves gerenciadas pelo cliente (CMK) | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do serviço de provisionamento de dispositivos do Hub IoT. Os dados são automaticamente criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente (CMK) geralmente são necessárias para atender aos padrões de conformidade regulamentar. As CMKs permitem que os dados sejam criptografados com uma chave do Cofre da Chave do Azure criada e de sua propriedade. Saiba mais sobre a criptografia CMK em https://aka.ms/dps/CMK. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
| Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
| As contas de Automação do Azure devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas Contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/automation-cmk. | Auditoria, Negar, Desativado | 1.0.0 |
| A conta do Lote do Azure deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta Batch. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/Batch-CMK. | Auditoria, Negar, Desativado | 1.0.1 |
| O grupo de contêineres da Instância de Contêiner do Azure deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditar, Desabilitar, Negar | 1.0.0 |
| As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os trabalhos do Azure Data Box devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para o Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar o acesso à senha de desbloqueio do dispositivo pelo serviço Data Box, a fim de preparar o dispositivo e copiar dados de forma automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com criptografia de 256 bits Advanced Encryption Standard e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada pela Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
| A criptografia do Azure Data Explorer em repouso deve usar uma chave gerenciada pelo cliente | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seu cluster do Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso geralmente é aplicável a clientes com requisitos especiais de conformidade e requer um Cofre de Chaves para gerenciar as chaves. | Auditoria, Negar, Desativado | 1.0.0 |
| As fábricas de dados do Azure devem ser criptografadas com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/adf-cmk. | Auditoria, Negar, Desativado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus clusters do Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/hdi.cmk. | Auditoria, Negar, Desativado | 1.0.1 |
| Os clusters do Azure HDInsight devem usar criptografia no host para criptografar dados em repouso | Habilitar a criptografia no host ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e fluem criptografados para o serviço de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
| Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.1.0 |
| Os clusters do Azure Monitor Logs devem ser criptografados com chave gerenciada pelo cliente | Crie o cluster de logs do Azure Monitor com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados de log são criptografados com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulamentar. A chave gerida pelo cliente no Azure Monitor dá-lhe mais controlo sobre o acesso aos seus dados, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os trabalhos do Azure Stream Analytics devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando quiser armazenar com segurança quaisquer metadados e ativos de dados privados de seus trabalhos do Stream Analytics em sua conta de armazenamento. Isso lhe dá controle total sobre como seus dados do Stream Analytics são criptografados. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os espaços de trabalho do Azure Synapse devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados nos espaços de trabalho do Azure Synapse. As chaves gerenciadas pelo cliente oferecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas por serviço. | Auditoria, Negar, Desativado | 1.0.0 |
| O Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | O Serviço de Bot do Azure criptografa automaticamente seu recurso para proteger seus dados e cumprir os compromissos organizacionais de segurança e conformidade. Por padrão, as chaves de criptografia gerenciadas pela Microsoft são usadas. Para maior flexibilidade na gestão de chaves ou no controlo do acesso à sua subscrição, selecione chaves geridas pelo cliente, também conhecidas como traga a sua própria chave (BYOK). Saiba mais sobre a criptografia do Serviço de Bot do Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os sistemas operacionais e os discos de dados nos clusters do Serviço Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | A encriptação do SO e dos discos de dados utilizando chaves geridas pelo cliente proporciona mais controlo e maior flexibilidade na gestão de chaves. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
| Os namespaces do Hub de Eventos devem usar uma chave gerenciada pelo cliente para criptografia | Os Hubs de Eventos do Azure dão suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Auditoria, Desativado | 1.0.0 |
| O Ambiente do Serviço de Integração de Aplicativos Lógicos deve ser criptografado com chaves gerenciadas pelo cliente | Implante no Integration Service Environment para gerenciar a criptografia no restante dos dados dos Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos gerenciados devem ser duplamente criptografados com chaves gerenciadas pela plataforma e gerenciadas pelo cliente | Os clientes sensíveis à alta segurança que estão preocupados com o risco associado a qualquer algoritmo de criptografia específico, implementação ou chave comprometida podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar criptografia dupla. Saiba mais em https://aka.ms/disks-doubleEncryption. | Auditoria, Negar, Desativado | 1.0.0 |
| Microsoft Managed Control 1643 - Estabelecimento e gerenciamento de chaves criptográficas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus discos gerenciados. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/disks-cmk. | Auditoria, Negar, Desativado | 3.0.0 |
| As consultas salvas no Azure Monitor devem ser salvas na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao espaço de trabalho do Log Analytics para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para ter mais controle sobre o acesso às suas consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os namespaces Premium do Service Bus devem usar uma chave gerenciada pelo cliente para criptografia | O Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas pela Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que o Service Bus usará para criptografar dados em seu namespace. Observe que o Service Bus só oferece suporte à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Auditoria, Desativado | 1.0.0 |
| As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
| Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
| Os escopos de criptografia de conta de armazenamento devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta de armazenamento. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais sobre os escopos de criptografia de conta de armazenamento em https://aka.ms/encryption-scopes-overview. | Auditoria, Negar, Desativado | 1.0.0 |
| As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
Disponibilidade
ID: NIST SP 800-53 Rev. 4 SC-12 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 - Estabelecimento e gerenciamento de chaves criptográficas | Disponibilidade | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Chaves simétricas
ID: NIST SP 800-53 Rev. 4 SC-12 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 - Estabelecimento e gerenciamento de chaves criptográficas | Chaves simétricas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Chaves assimétricas
ID: NIST SP 800-53 Rev. 4 SC-12 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 - Estabelecimento e gerenciamento de chaves criptográficas | Chaves assimétricas | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 4 SC-13 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 - Uso de criptografia | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Dispositivos de computação colaborativa
ID: NIST SP 800-53 Rev. 4 SC-15 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 - Dispositivos de computação colaborativa | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1649 - Dispositivos de computação colaborativa | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Certificados de infraestrutura de chave pública
ID: NIST SP 800-53 Rev. 4 SC-17 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1650 - Certificados de Infraestrutura de Chave Pública | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Código Móvel
ID: NIST SP 800-53 Rev. 4 SC-18 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1651 - Código Móvel | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1652 - Código Móvel | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1653 - Código Móvel | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Voz sobre Protocolo Internet
ID: NIST SP 800-53 Rev. 4 SC-19 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1654 - Voz sobre Protocolo Internet | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1655 - Voz sobre Protocolo Internet | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Serviço de Resolução de Nome/Endereço Seguro (Fonte Autorizada)
ID: NIST SP 800-53 Rev. 4 SC-20 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 - Serviço de Resolução de Nome/Endereço Seguro (Fonte Autorizada) | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Microsoft Managed Control 1657 - Serviço de Resolução de Nome/Endereço Seguro (Fonte Autorizada) | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Serviço de Resolução de Nome/Endereço Seguro (Resolvedor Recursivo ou de Cache)
ID: NIST SP 800-53 Rev. 4 SC-21 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 - Serviço seguro de resolução de nome/endereço (resolvedor recursivo ou de cache) | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Arquitetura e provisionamento para serviço de resolução de nome/endereço
ID: NIST SP 800-53 Rev. 4 SC-22 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 - Arquitetura e provisionamento para serviço de resolução de nome/endereço | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Autenticidade da sessão
ID: NIST SP 800-53 Rev. 4 SC-23 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 - Autenticidade da sessão | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Invalidar identificadores de sessão ao sair
ID: NIST SP 800-53 Rev. 4 SC-23 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 - Autenticidade da sessão | Invalidar identificadores de sessão ao sair | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Falha no estado conhecido
ID: NIST SP 800-53 Rev. 4 SC-24 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1662 - Falha no estado conhecido | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Proteção de informações em repouso
ID: NIST SP 800-53 Rev. 4 SC-28 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. | Auditoria, Negar, Desativado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 2.0.0 |
| Microsoft Managed Control 1663 - Proteção de informações em repouso | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Proteção criptográfica
ID: NIST SP 800-53 Rev. 4 SC-28 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interna entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Os trabalhos do Azure Data Box devem habilitar a criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido através da encriptação Advanced Encryption Standard de 256 bits para dados em repouso. Esta opção adiciona uma segunda camada de encriptação de dados. | Auditoria, Negar, Desativado | 1.0.0 |
| Os clusters de Logs do Azure Monitor devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura seja habilitada no nível de serviço e no nível de infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster dedicado do Azure Monitor. Esta opção é ativada por padrão quando suportada na região, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| Os dispositivos do Azure Stack Edge devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, certifique-se de que está duplamente encriptado, que o acesso aos dados é controlado e, uma vez que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. A criptografia dupla é o uso de duas camadas de criptografia: criptografia BitLocker XTS-AES de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança para o dispositivo Stack Edge específico. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
| A criptografia de disco deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. | Auditoria, Negar, Desativado | 2.0.0 |
| A criptografia dupla deve ser habilitada no Azure Data Explorer | Habilitar a criptografia dupla ajuda a proteger e proteger seus dados para atender aos seus compromissos organizacionais de segurança e conformidade. Quando a criptografia dupla é habilitada, os dados na conta de armazenamento são criptografados duas vezes, uma no nível de serviço e outra no nível de infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria, Negar, Desativado | 2.0.0 |
| Microsoft Managed Control 1664 - Proteção de informações em repouso | Proteção criptográfica | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| As contas de armazenamento devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para obter um nível mais alto de garantia de que os dados estão seguros. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de armazenamento são criptografados duas vezes. | Auditoria, Negar, Desativado | 1.0.0 |
| Os discos temporários e o cache para pools de nós de agente nos clusters do Serviço Kubernetes do Azure devem ser criptografados no host | Para melhorar a segurança dos dados, os dados armazenados no host da máquina virtual (VM) das VMs dos nós do Serviço Kubernetes do Azure devem ser criptografados em repouso. Este é um requisito comum em muitas normas regulatórias e de conformidade do setor. | Auditoria, Negar, Desativado | 1.0.1 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
| Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
Isolamento de processos
ID: NIST SP 800-53 Rev. 4 SC-39 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1665 - Isolamento de processo | A Microsoft implementa este controle de Proteção de Sistema e Comunicações | auditoria | 1.0.0 |
Integridade do Sistema e da Informação
Política e Procedimentos de Integridade de Sistemas e Informações
ID: NIST SP 800-53 Rev. 4 SI-1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 - Política e procedimentos de integridade do sistema e da informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1667 - Política e procedimentos de integridade do sistema e da informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Remediação de falhas
ID: NIST SP 800-53 Rev. 4 SI-2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1668 - Correção de falhas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1669 - Correção de falhas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1670 - Correção de falhas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1671 - Correção de falhas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Administração Central
ID: NIST SP 800-53 Rev. 4 SI-2 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1672 - Correção de falhas | Administração Central | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Status de correção automatizada de falhas
ID: NIST SP 800-53 Rev. 4 SI-2 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 - Correção de falhas | Status de correção automatizada de falhas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Tempo para corrigir falhas / benchmarks para ações corretivas
ID: NIST SP 800-53 Rev. 4 SI-2 (3) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 - Correção de falhas | Tempo para corrigir falhas / benchmarks para ações corretivas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1675 - Correção de falhas | Tempo para corrigir falhas / benchmarks para ações corretivas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Remoção de versões anteriores de software / firmware
ID: NIST SP 800-53 Rev. 4 SI-2 (6) Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
Proteção de código malicioso
ID: NIST SP 800-53 Rev. 4 SI-3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Managed Control 1676 - Proteção de código malicioso | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1677 - Proteção de código malicioso | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1678 - Proteção de código malicioso | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1679 - Proteção de código malicioso | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 1.1.1 |
Administração Central
ID: NIST SP 800-53 Rev. 4 SI-3 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Managed Control 1680 - Proteção contra códigos maliciosos | Administração Central | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 1.1.1 |
Atualizações Automáticas
ID: NIST SP 800-53 Rev. 4 SI-3 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1681 - Proteção de código malicioso | Atualizações automáticas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Deteção não baseada em assinatura
ID: NIST SP 800-53 Rev. 4 SI-3 (7) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1682 - Proteção de código malicioso | Deteção não baseada em assinatura | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Monitorização do Sistema de Informação
ID: NIST SP 800-53 Rev. 4 SI-4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 4.0.1-Pré-visualização |
| [Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| [Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
| O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
| A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.2 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage (Classic) deve estar habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | AuditIfNotExists, desativado | 1.0.4 |
| Microsoft Managed Control 1683 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1684 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1685 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1686 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1687 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1688 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1689 - Monitorização do Sistema de Informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
| A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Sistema de deteção de intrusão em todo o sistema
ID: NIST SP 800-53 Rev. 4 SI-4 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 - Monitorização do Sistema de Informação | Sistema de deteção de intrusão em todo o sistema | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Ferramentas automatizadas para análise em tempo real
ID: NIST SP 800-53 Rev. 4 SI-4 (2) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 - Monitorização do Sistema de Informação | Ferramentas automatizadas para análise em tempo real | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Tráfego de comunicações de entrada e saída
ID: NIST SP 800-53 Rev. 4 SI-4 (4) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 - Monitorização do Sistema de Informação | Tráfego de comunicações de entrada e saída | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Alertas gerados pelo sistema
ID: NIST SP 800-53 Rev. 4 SI-4 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 - Monitorização do Sistema de Informação | Alertas gerados pelo sistema | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Analise anomalias de tráfego de comunicações
ID: NIST SP 800-53 Rev. 4 SI-4 (11) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 - Monitorização do Sistema de Informação | Analise anomalias de tráfego de comunicações | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Alertas automatizados
ID: NIST SP 800-53 Rev. 4 SI-4 (12) Propriedade: Cliente
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.0.0 |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Deteção de intrusão sem fio
ID: NIST SP 800-53 Rev. 4 SI-4 (14) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 - Monitorização do Sistema de Informação | Deteção de intrusão sem fio | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Correlacione as informações de monitoramento
ID: NIST SP 800-53 Rev. 4 SI-4 (16) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 - Monitorização do Sistema de Informação | Correlacione as informações de monitoramento | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Analise o Tráfego / Exfiltração Secreta
ID: NIST SP 800-53 Rev. 4 SI-4 (18) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 - Monitorização de Sistemas de Informação | Analise o Tráfego / Exfiltração Secreta | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Indivíduos que representam maior risco
ID: NIST SP 800-53 Rev. 4 SI-4 (19) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 - Monitorização do Sistema de Informação | Indivíduos que representam maior risco | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Usuário privilegiado
ID: NIST SP 800-53 Rev. 4 SI-4 (20) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 - Monitorização do Sistema de Informação | Utilizadores Privilegiados | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Serviços de rede não autorizados
ID: NIST SP 800-53 Rev. 4 SI-4 (22) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 - Monitorização do Sistema de Informação | Serviços de rede não autorizados | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Dispositivos baseados em host
ID: NIST SP 800-53 Rev. 4 SI-4 (23) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 - Monitorização do Sistema de Informação | Dispositivos baseados em host | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Indicadores de compromisso
ID: NIST SP 800-53 Rev. 4 SI-4 (24) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 - Monitorização do Sistema de Informação | Indicadores de compromisso | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Alertas, avisos e diretivas de segurança
ID: NIST SP 800-53 Rev. 4 SI-5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 - Alertas de Segurança & Avisos | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1704 - Alertas de Segurança & Avisos | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1705 - Alertas de Segurança & Avisos | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1706 - Alertas de Segurança & Avisos | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Alertas e avisos automatizados
ID: NIST SP 800-53 Rev. 4 SI-5 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 - Alertas de Segurança & Avisos | Alertas e avisos automatizados | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Verificação da função de segurança
ID: NIST SP 800-53 Rev. 4 SI-6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 - Verificação da funcionalidade de segurança | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1709 - Verificação da funcionalidade de segurança | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1710 - Verificação da funcionalidade de segurança | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1711 - Verificação da funcionalidade de segurança | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Software, firmware e integridade da informação
ID: NIST SP 800-53 Rev. 4 SI-7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 - Software e integridade da informação | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Verificações de integridade
ID: NIST SP 800-53 Rev. 4 SI-7 (1) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 - Software & Integridade da Informação | Verificações de integridade | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Notificações automatizadas de violações de integridade
ID: NIST SP 800-53 Rev. 4 SI-7 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 - Software & Integridade da Informação | Notificações automatizadas de violações de integridade | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Resposta automatizada a violações de integridade
ID: NIST SP 800-53 Rev. 4 SI-7 (5) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 - Software & Integridade da Informação | Resposta automatizada a violações de integridade | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Integração de deteção e resposta
ID: NIST SP 800-53 Rev. 4 SI-7 (7) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 - Software & Integridade da Informação | Integração de deteção e resposta | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Código binário ou executável de máquina
ID: NIST SP 800-53 Rev. 4 SI-7 (14) Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1717 - Software & Integridade da Informação | Código binário ou executável de máquina | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1718 - Software & Integridade da Informação | Código binário ou executável de máquina | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Proteção contra spam
ID: NIST SP 800-53 Rev. 4 SI-8 Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 - Proteção contra spam | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1720 - Proteção contra spam | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Administração Central
ID: NIST SP 800-53 Rev. 4 SI-8 (1) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1721 - Proteção contra spam | Administração Central | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Atualizações Automáticas
ID: NIST SP 800-53 Rev. 4 SI-8 (2) Propriedade: Microsoft
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 - Proteção contra spam | Atualizações automáticas | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Validação de entrada de informações
ID: NIST SP 800-53 Rev. 4 SI-10 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 - Validação de entrada de informações | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Processamento de Erros
ID: NIST SP 800-53 Rev. 4 SI-11 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 - Tratamento de erros | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| Microsoft Managed Control 1725 - Tratamento de erros | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Tratamento e retenção de informações
ID: NIST SP 800-53 Rev. 4 SI-12 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 - Tratamento e retenção de saída de informações | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
Proteção de memória
ID: NIST SP 800-53 Rev. 4 SI-16 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Microsoft Managed Control 1727 - Proteção de memória | A Microsoft implementa este controle de integridade do sistema e da informação | auditoria | 1.0.0 |
| O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 1.1.1 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.