Definições internas da Política do Azure para serviços de rede do Azure
Esta página é um índice das definições de política internas da Política do Azure para os serviços de rede do Azure. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Serviços de rede do Azure
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Preview]: Os gateways de aplicativos devem ser resilientes à zona | Os gateways de aplicativos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Application Gatewaysmthat havenexatamente uma entrada em sua matriz de zonas são considerados Zone Aligned. Por outro lado, os Application Gatmways com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Configurar os cofres dos Serviços de Recuperação do Azure para utilizar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para os Cofres dos Serviços de Recuperação. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Configurar cofres dos Serviços de Recuperação para utilizar zonas DNS privadas para cópia de segurança | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver no cofre dos Serviços de Recuperação. Saiba mais em: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: Os firewalls devem ser resilientes à zona | Os firewalls podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os firewalls que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Por outro lado, firewalls com 3 ou mais entradas em sua matriz de zonas são reconhecidos como redundantes de zona. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Os load balancers devem ser resilientes à zona | Os balanceadores de carga com uma sku diferente de Basic herdam a resiliência dos endereços IP públicos em seu frontend. Quando combinada com a política "Os endereços IP públicos devem ser resilientes à zona", esta abordagem garante a redundância necessária para resistir a uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: O gateway NAT deve estar alinhado por zona | O gateway NAT pode ser configurado para estar alinhado à zona ou não. O gateway NAT que tem exatamente uma entrada em sua matriz de zonas é considerado Zona Alinhada. Essa política garante que um gateway NAT esteja configurado para operar em uma única zona de disponibilidade. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Os endereços IP públicos devem ser resilientes à zona | Os endereços IP públicos podem ser configurados para estarem alinhados com zona, redundantes de zona ou nenhum. Os endereços IP públicos que são regionais, com exatamente uma entrada em sua matriz de zonas, são considerados Zona Alinhada. Por outro lado, os endereços IP públicos que são regionais, com 3 ou mais entradas em sua matriz de zonas, são reconhecidos como Zona Redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.1.0-Pré-visualização |
[Pré-visualização]: Os prefixos IP públicos devem ser resilientes à zona | Os prefixos IP públicos podem ser configurados para serem alinhados por zona, redundantes de zona ou nenhum. Os prefixos IP públicos que têm exatamente uma entrada em sua matriz de zonas são considerados Zona Alinhada. Em contraste, prefixos IP públicos com 3 ou mais entradas em sua matriz de zonas são reconhecidos como Zona redundante. Essa política ajuda a identificar e impor essas configurações de resiliência. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Os gateways de rede virtual devem ser redundantes de zona | Os gateways de rede virtual podem ser configurados para serem redundantes de zona ou não. Os gateways de rede virtual cujo nome ou camada de SKU não termina com 'AZ' não são redundantes de zona. Esta política identifica gateways de rede virtual sem a redundância necessária para suportar uma interrupção de zona. | Auditoria, Negar, Desativado | 1.0.0-pré-visualização |
Uma política IPsec/IKE personalizada deve ser aplicada a todas as conexões de gateway de rede virtual do Azure | Esta política garante que todas as conexões de gateway de rede virtual do Azure usem uma política personalizada de IPsec (Internet Protocol Security)/Internet Key Exchange (IKE). Algoritmos suportados e principais pontos fortes - https://aka.ms/AA62kb0 | Auditoria, Desativado | 1.0.0 |
Todos os recursos do log de fluxo devem estar no estado habilitado | Auditoria de recursos de log de fluxo para verificar se o status do log de fluxo está habilitado. A habilitação de logs de fluxo permite registrar informações sobre o fluxo de tráfego IP. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
Configuração de logs de fluxo de auditoria para cada rede virtual | Auditoria de rede virtual para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através da rede virtual. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.0.1 |
O Gateway de Aplicativo do Azure deve ser implantado com o Azure WAF | Requer que os recursos do Gateway de Aplicativo do Azure sejam implantados com o Azure WAF. | Auditoria, Negar, Desativado | 1.0.0 |
O Gateway de Aplicativo do Azure deve ter os logs de Recursos habilitados | Habilite os logs de recursos para o Gateway de Aplicativo do Azure (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
As Regras Clássicas do Firewall do Azure devem ser migradas para a Política de Firewall | Migre das Regras Clássicas do Firewall do Azure para a Política de Firewall para utilizar ferramentas de gerenciamento central, como o Gerenciador de Firewall do Azure. | Auditoria, Negar, Desativado | 1.0.0 |
A Análise de Política de Firewall do Azure deve estar habilitada | A habilitação da Análise de Políticas fornece visibilidade aprimorada do tráfego que flui pelo Firewall do Azure, permitindo a otimização da configuração do firewall sem afetar o desempenho do aplicativo | Auditoria, Desativado | 1.0.0 |
A Política de Firewall do Azure deve habilitar o Threat Intelligence | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
A Política de Firewall do Azure deve ter o Proxy DNS Ativado | Habilitar o Proxy DNS fará com que o Firewall do Azure associado a essa política escute na porta 53 e encaminhe as solicitações DNS para o servidor DNS especificado | Auditoria, Desativado | 1.0.0 |
O Firewall do Azure deve ser implantado para abranger várias zonas de disponibilidade | Para aumentar a disponibilidade, recomendamos implantar seu Firewall do Azure para abranger várias zonas de disponibilidade. Isso garante que seu Firewall do Azure permanecerá disponível no caso de uma falha de zona. | Auditoria, Negar, Desativado | 1.0.0 |
Azure Firewall Standard - Regras Clássicas devem habilitar o Threat Intelligence | A filtragem baseada nas informações sobre ameaças pode ser ativada para a firewall para alertar e negar o tráfego de/para domínios e endereços IP maliciosos conhecidos. Os domínios e endereços IP são obtidos a partir do feed das Informações sobre Ameaças da Microsoft. | Auditoria, Negar, Desativado | 1.0.0 |
O Azure Firewall Standard deve ser atualizado para Premium para proteção de próxima geração | Se você estiver procurando proteção de próxima geração, como inspeção de IDPS e TLS, considere atualizar seu Firewall do Azure para sku Premium. | Auditoria, Negar, Desativado | 1.0.0 |
O Azure Front Door deve ter logs de recursos habilitados | Habilite os logs de recursos para o Azure Front Door (mais WAF) e transmita para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de entrada na Web e das ações tomadas para mitigar ataques. | AuditIfNotExists, desativado | 1.0.0 |
Os gateways de VPN do Azure não devem usar SKU 'básico' | Esta política garante que os gateways VPN não usem SKU 'básico'. | Auditoria, Desativado | 1.0.0 |
O Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure deve ter a inspeção de corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados aos Gateways de Aplicativo do Azure têm a inspeção de corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
O Firewall de Aplicativo Web do Azure na Porta da Frente do Azure deve ter a inspeção do corpo de solicitação habilitada | Verifique se os Firewalls de Aplicativo Web associados às Portas Frontais do Azure têm a inspeção do corpo de solicitação habilitada. Isso permite que o WAF inspecione propriedades dentro do corpo HTTP que podem não ser avaliadas nos cabeçalhos HTTP, cookies ou URI. | Auditoria, Negar, Desativado | 1.0.0 |
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
A Proteção de Bot deve ser habilitada para o WAF do Gateway de Aplicativo do Azure | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Firewall de Aplicativo Web do Gateway de Aplicativo do Azure (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
A Proteção de Bot deve ser habilitada para o Azure Front Door WAF | Esta política garante que a proteção de bot esteja habilitada em todas as políticas do Azure Front Door Web Application Firewall (WAF) | Auditoria, Negar, Desativado | 1.0.0 |
Configurar um ID de zona DNS privado para groupID de blob | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de blob. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para blob_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado blob_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para dfs groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs groupID. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para dfs_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado dfs_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para o ID do grupo de arquivos | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo de arquivos. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para o ID do grupo de filas | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo de filas. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para queue_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado queue_secondary groupID. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para groupID de tabela | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado groupID de tabela. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para table_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo table_secondary. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para o ID do grupo Web | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado ID de grupo da Web. | DeployIfNotExists, desativado | 1.0.0 |
Configurar um ID de zona DNS privado para web_secondary groupID | Configure o grupo de zonas DNS privadas para substituir a resolução DNS de um ponto de extremidade privado de ID de grupo web_secondary. | DeployIfNotExists, desativado | 1.0.0 |
Configurar aplicativos do Serviço de Aplicativo para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula uma rede virtual a um Serviço de Aplicativo. Saiba mais em: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, desativado | 1.0.1 |
Configurar escopos de link privado do Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para os Escopos de Link Privado do Azure Arc. Saiba mais em: https://aka.ms/arc/privatelink. | DeployIfNotExists, desativado | 1.2.0 |
Configurar contas de Automação do Azure com zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Você precisa da zona DNS privada configurada corretamente para se conectar à conta de Automação do Azure por meio do Azure Private Link. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Cache do Azure para Redis Enterprise para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver no Cache do Azure para Redis Enterprise. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Cache do Azure para Redis para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver no Cache do Azure para Redis. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar os serviços de Pesquisa Cognitiva do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu serviço de Pesquisa Cognitiva do Azure. Saiba mais em: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o espaço de trabalho do Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Databricks. Saiba mais em: https://aka.ms/adbpe. | DeployIfNotExists, desativado | 1.0.1 |
Configurar a Atualização de Dispositivo do Azure para contas do Hub IoT para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para Atualização de Dispositivo para pontos de extremidade privados do Hub IoT. | DeployIfNotExists, desativado | 1.0.0 |
Configurar a Sincronização de Ficheiros do Azure para utilizar zonas DNS privadas | Para acessar o(s) ponto(s) de extremidade privado para interfaces de recursos do Serviço de Sincronização de Armazenamento a partir de um servidor registrado, você precisa configurar seu DNS para resolver os nomes corretos para os endereços IP privados do seu ponto de extremidade privado. Esta política cria os registos de Zona DNS Privada do Azure e A necessários para as interfaces do(s) seu(s) ponto(s) de extremidade(s) privado(s) do Serviço de Sincronização de Armazenamento. | DeployIfNotExists, desativado | 1.1.0 |
Configurar clusters do Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os clusters do Azure HDInsight. Saiba mais em: https://aka.ms/hdi.pl. | DeployIfNotExists, desativado | 1.0.0 |
Configurar os Cofres de Chaves do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para o cofre de chaves. Saiba mais em: https://aka.ms/akvprivatelink. | DeployIfNotExists, desativado | 1.0.1 |
Configurar o espaço de trabalho do Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os espaços de trabalho do Azure Machine Learning. Saiba mais em: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, desativado | 1.1.0 |
Configurar espaços de trabalho do Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver os espaços de trabalho do Azure Managed Grafana. | DeployIfNotExists, desativado | 1.0.0 |
Configurar os Serviços de Mídia do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta dos Serviços de Mídia. Saiba mais em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
Configurar os Serviços de Mídia do Azure com pontos de extremidade privados | Os pontos de extremidade privados conectam suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para Serviços de Mídia, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, desativado | 1.0.0 |
Configurar recursos do Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o seu projeto Azure Migrate. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Escopo de Link Privado do Azure Monitor para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o escopo de link privado do Azure Monitor. Saiba mais em: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
Configurar espaços de trabalho do Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para o espaço de trabalho do Azure Synapse. Saiba mais em: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, desativado | 2.0.0 |
Configurar recursos do pool de hosts da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar recursos do espaço de trabalho da Área de Trabalho Virtual do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos da Área de Trabalho Virtual do Azure. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Serviço Web PubSub do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o serviço Azure Web PubSub. Saiba mais em: https://aka.ms/awps/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
Configurar recursos do BotService para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver os recursos relacionados ao BotService. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 1.0.0 |
Configurar contas de Serviços Cognitivos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver as contas dos Serviços Cognitivos. Saiba mais em: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, desativado | 1.0.0 |
Configurar registros de contêiner para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver o seu Registo de Contentores. Saiba mais em: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, desativado | 1.0.1 |
Configurar contas do CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para a conta do CosmosDB. Saiba mais em: https://aka.ms/privatednszone. | DeployIfNotExists, desativado | 2.0.0 |
Definir definições de diagnóstico para os Grupos de Segurança de Rede do Azure para a área de trabalho do Log Analytics | Implante configurações de diagnóstico nos Grupos de Segurança de Rede do Azure para transmitir logs de recursos para um espaço de trabalho do Log Analytics. | DeployIfNotExists, desativado | 1.0.0 |
Configurar recursos de acesso ao disco para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada liga-se à sua rede virtual para resolver para um disco gerido. Saiba mais em: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, desativado | 1.0.0 |
Configurar namespaces do Hub de Eventos para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Hub de Eventos. Saiba mais em: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
Configurar instâncias de provisionamento de dispositivo do Hub IoT para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada é vinculada à sua rede virtual para resolver para uma instância de serviço de provisionamento de dispositivo do Hub IoT. Saiba mais em: https://aka.ms/iotdpsvnet. | DeployIfNotExists, desativado | 1.0.0 |
Configurar grupos de segurança de rede para habilitar a análise de tráfego | A análise de tráfego pode ser habilitada para todos os grupos de segurança de rede hospedados em uma região específica com as configurações fornecidas durante a criação da política. Se já tiver a análise de tráfego ativada, a política não substituirá suas configurações. Os Logs de Fluxo também estão habilitados para os grupos de segurança de Rede que não os têm. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
Configurar grupos de segurança de rede para usar espaço de trabalho, conta de armazenamento e política de retenção de fluxolog específicos para análise de tráfego | Se já tiver a análise de tráfego habilitada, a política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.2.0 |
Configurar zonas DNS privadas para pontos de extremidade privados conectados à Configuração do Aplicativo | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada pode ser vinculada à sua rede virtual para resolver instâncias de configuração do aplicativo. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, desativado | 1.0.0 |
Configurar zonas DNS privadas para pontos de extremidade privados que se conectam ao Azure Data Factory | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura habilitando a conectividade privada com seu Azure Data Factory sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Link Privado para o Azure AD usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para o Azure AD. Saiba mais em: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, desativado | 1.0.0 |
Configurar namespaces do Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver para namespaces do Service Bus. Saiba mais em: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, desativado | 1.0.0 |
Configurar a rede virtual para habilitar o Log de Fluxo e a Análise de Tráfego | A análise de tráfego e os logs de fluxo podem ser habilitados para todas as redes virtuais hospedadas em uma região específica com as configurações fornecidas durante a criação da política. Esta política não substitui a configuração atual para redes virtuais que já têm esses recursos habilitados. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.1 |
Configurar redes virtuais para impor espaço de trabalho, conta de armazenamento e intervalo de retenção para logs de fluxo e análise de tráfego | Se uma rede virtual já tiver a análise de tráfego habilitada, essa política substituirá suas configurações existentes pelas fornecidas durante a criação da política. A análise de tráfego é uma solução baseada na nuvem que fornece visibilidade sobre a atividade do usuário e do aplicativo em redes de nuvem. | DeployIfNotExists, desativado | 1.1.2 |
Implantar - Configurar domínios da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
Implantar - Configurar tópicos da Grade de Eventos do Azure para usar zonas DNS privadas | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Saiba mais em: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, desativado | 1.1.0 |
Implantar - Configurar Hubs IoT do Azure para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma Zona DNS privada para pontos de extremidade privados do Hub IoT. | deployIfNotExists, DeployIfNotExists, desabilitado, desabilitado | 1.1.0 |
Implantar - Configurar o IoT Central para usar zonas DNS privadas | O DNS Privado do Azure fornece um serviço DNS confiável e seguro para gerenciar e resolver nomes de domínio em uma rede virtual sem a necessidade de adicionar uma solução DNS personalizada. Você pode usar zonas DNS privadas para substituir a resolução DNS usando seus próprios nomes de domínio personalizados para um ponto de extremidade privado. Esta política implanta uma zona DNS privada para pontos de extremidade privados do IoT Central. | DeployIfNotExists, desativado | 1.0.0 |
Implantar - Configurar zonas DNS privadas para pontos de extremidade privados se conectarem ao Serviço Azure SignalR | Use zonas DNS privadas para substituir a resolução DNS para um ponto de extremidade privado. Uma zona DNS privada vincula-se à sua rede virtual para resolver o recurso do Serviço Azure SignalR. Saiba mais em: https://aka.ms/asrs/privatelink. | DeployIfNotExists, desativado | 1.0.0 |
Implantar - Configurar zonas DNS privadas para pontos de extremidade privados que se conectam a contas em lote | Os registos DNS privados permitem ligações privadas a terminais privados. As conexões de ponto de extremidade privado permitem uma comunicação segura, habilitando a conectividade privada para contas em lote sem a necessidade de endereços IP públicos na origem ou no destino. Para obter mais informações sobre pontos de extremidade privados e zonas DNS no Batch, consulte https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, desativado | 1.0.0 |
Implantar um recurso de log de fluxo com o grupo de segurança de rede de destino | Configura o log de fluxo para um grupo de segurança de rede específico. Ele permitirá registrar informações sobre o tráfego IP que flui através de um grupo de segurança de rede. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | deployIfNotExists | 1.1.0 |
Implantar um recurso de Log de Fluxo com a rede virtual de destino | Configura o log de fluxo para uma rede virtual específica. Ele permitirá registrar informações sobre o tráfego IP fluindo através de uma rede virtual. O log de fluxo ajuda a identificar tráfego desconhecido ou indesejado, verificar o isolamento da rede e a conformidade com as regras de acesso corporativo, analisar fluxos de rede de IPs comprometidos e interfaces de rede. | DeployIfNotExists, desativado | 1.1.1 |
Implantar configurações de diagnóstico para grupos de segurança de rede | Esta política implementa automaticamente as definições de diagnóstico nos grupos de segurança da rede. Uma conta de armazenamento com o nome '{storagePrefixParameter}{NSGLocation}' será criada automaticamente. | deployIfNotExists | 2.0.1 |
Implantar o inspetor de rede quando redes virtuais são criadas | Esta política cria um recurso de observador de rede em regiões com redes virtuais. Você precisa garantir a existência de um grupo de recursos chamado networkWatcherRG, que será usado para implantar instâncias do inspetor de rede. | DeployIfNotExists | 1.0.0 |
Habilitar o registro em log por grupo de categorias para gateways de aplicativos (microsoft.network/applicationgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para gateways de aplicativos (microsoft.network/applicationgateways) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para gateways de aplicativos (microsoft.network/applicationgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de aplicativos (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilite o registro por grupo de categorias para Bastions (microsoft.network/bastionhosts) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para Bastions (microsoft.network/bastionhosts) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Bastiões (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para circuitos de Rota Expressa (microsoft.network/expressroutecircuits) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para circuitos de Rota Expressa (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para o Firewall (microsoft.network/azurefirewalls) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para Firewalls (microsoft.network/azurefirewalls) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilite o registro por grupo de categorias para perfis Front Door e CDN (microsoft.network/frontdoors) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis Front Door e CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para balanceadores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para balanceadores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para balanceadores de carga (microsoft.network/loadbalancers) para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Balanceadores de Carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/dnsresolverpolicies no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/dnsresolverpolicies para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/dnsresolverpolicies para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/networkmanagers/ipampools no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para microsoft.network/networkmanagers/ipampools no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.network/networkmanagers/ipampools para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.network/networksecurityperimeters no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/networksecurityperimeters para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/networksecurityperímetros para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.network/p2svpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/p2svpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro por grupo de categorias para microsoft.network/vpngateways no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.network/vpngateways no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.network/vpngateways para armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkanalytics/dataproducts no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkanalytics/dataproducts no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/baremetalmachines no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/baremetalmachines para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/baremetalmachines para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/clusters no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/clusters no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkcloud/clusters para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para microsoft.networkcloud/storageappliances no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para microsoft.networkcloud/storageappliances no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Ativar o registo por grupo de categorias para microsoft.networkcloud/storageappliances para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para microsoft.networkfunction/azuretrafficcollectors para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para Gerentes de Rede (microsoft.network/networkmanagers) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Gerentes de Rede (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para grupos de segurança de rede (microsoft.network/networksecuritygroups) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para grupos de segurança de rede (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para endereços IP públicos (microsoft.network/publicipaddresses) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para endereços IP públicos (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilite o registro em log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para prefixos IP públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para Prefixos IP Públicos (microsoft.network/publicipprefixes) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Prefixos IP Públicos (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para perfis do Gerenciador de Tráfego (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.2.0 |
Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para o Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro em log por grupo de categorias para gateways de rede virtual (microsoft.network/virtualnetworkgateways) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para gateways de rede virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, desativado | 1.1.0 |
Habilitar o registro por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) no Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) no Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um espaço de trabalho do Log Analytics para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar o registro em log por grupo de categorias para redes virtuais (microsoft.network/virtualnetworks) para Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para redes virtuais (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, desativado | 1.0.0 |
Habilitar a regra de Limite de Taxa para proteger contra ataques DDoS no WAF da Porta da Frente do Azure | A regra de limite de taxa do Firewall de Aplicativo Web do Azure (WAF) para o Azure Front Door controla o número de solicitações permitidas de um determinado endereço IP do cliente para o aplicativo durante uma duração de limite de taxa. | Auditoria, Negar, Desativado | 1.0.0 |
Os logs de fluxo devem ser configurados para cada grupo de segurança de rede | Auditoria de grupos de segurança de rede para verificar se os logs de fluxo estão configurados. A habilitação de logs de fluxo permite registrar informações sobre o tráfego IP que flui através do grupo de segurança de rede. Ele pode ser usado para otimizar fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detetar invasões e muito mais. | Auditoria, Desativado | 1.1.0 |
As sub-redes de gateway não devem ser configuradas com um security group de rede | Esta política nega se uma sub-rede de gateway estiver configurada com um grupo de segurança de rede. A atribuição de um grupo de segurança de rede a uma sub-rede de gateway fará com que o gateway pare de funcionar. | negar | 1.0.0 |
Migrar o WAF da configuração do WAF para a política do WAF no Application Gateway | Se você tiver WAF Config em vez de WAF Policy, então você pode querer mover para a nova WAF Policy. No futuro, a política de firewall suportará configurações de política WAF, conjuntos de regras gerenciados, exclusões e grupos de regras desabilitados. | Auditoria, Negar, Desativado | 1.0.0 |
As interfaces de rede devem ser conectadas a uma sub-rede aprovada da rede virtual aprovada | Esta política impede que as interfaces de rede se conectem a uma rede virtual ou sub-rede que não seja aprovada. https://aka.ms/VirtualEnclaves | Auditoria, Negar, Desativado | 1.0.0 |
As interfaces de rede devem desativar o encaminhamento IP | Esta política nega as interfaces de rede que habilitaram o encaminhamento de IP. A configuração de encaminhamento IP desabilita a verificação do Azure da origem e do destino de uma interface de rede. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
As interfaces de rede não devem ter IPs públicos | Esta política nega as interfaces de rede configuradas com qualquer IP público. Os endereços IP públicos permitem que os recursos da Internet comuniquem a entrada para recursos do Azure e os recursos do Azure para comunicar a saída para a Internet. Isso deve ser revisado pela equipe de segurança de rede. | negar | 1.0.0 |
Os logs de fluxo do Inspetor de Rede devem ter a análise de tráfego habilitada | A análise de tráfego analisa os logs de fluxo para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Ele pode ser usado para visualizar a atividade de rede em suas assinaturas do Azure e identificar pontos de acesso, identificar ameaças à segurança, entender padrões de fluxo de tráfego, identificar configurações incorretas de rede e muito mais. | Auditoria, Desativado | 1.0.1 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Os endereços IP públicos devem ter logs de recursos habilitados para a Proteção contra DDoS do Azure | Habilite logs de recursos para endereços IP públicos em configurações de diagnóstico para transmitir para um espaço de trabalho do Log Analytics. Obtenha visibilidade detalhada do tráfego de ataques e das ações tomadas para mitigar ataques DDoS por meio de notificações, relatórios e logs de fluxo. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
IPs públicos e prefixos de IP público devem ter a tag FirstPartyUsage | Verifique se todos os endereços IP públicos e prefixos IP públicos têm uma tag FirstPartyUsage. | Auditoria, Negar, Desativado | 1.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
As sub-redes devem ser privadas | Certifique-se de que suas sub-redes estejam seguras por padrão, impedindo o acesso de saída padrão. Para obter mais informações, aceda a https://aka.ms/defaultoutboundaccessretirement | Auditoria, Negar, Desativado | 1.0.0 |
Os Hubs Virtuais devem ser protegidos com o Firewall do Azure | Implante um Firewall do Azure em seus Hubs Virtuais para proteger e controlar granularmente o tráfego de saída e entrada da Internet. | Auditoria, Negar, Desativado | 1.0.0 |
As máquinas virtuais devem ser conectadas a uma rede virtual aprovada | Esta política audita qualquer máquina virtual conectada a uma rede virtual que não seja aprovada. | Auditoria, Negar, Desativado | 1.0.0 |
As redes virtuais devem ser protegidas pela Proteção contra DDoS do Azure | Proteja as suas redes virtuais contra ataques volumétricos e de protocolo com a Proteção contra DDoS do Azure. Para mais informações, visite https://aka.ms/ddosprotectiondocs. | Modificar, Auditar, Desativar | 1.0.1 |
As redes virtuais devem usar o gateway de rede virtual especificado | Esta política audita qualquer rede virtual se a rota padrão não apontar para o gateway de rede virtual especificado. | AuditIfNotExists, desativado | 1.0.0 |
Os gateways de VPN devem usar apenas a autenticação do Azure Ative Directory (Azure AD) para usuários ponto a site | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas identidades do Azure Ative Directory para autenticação. Saiba mais sobre a autenticação do Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
O Web Application Firewall (WAF) deve usar o modo especificado para o Application Gateway | Exige que o uso do modo 'Detecção' ou 'Prevenção' esteja ativo em todas as políticas do Web Application Firewall para o Application Gateway. | Auditoria, Negar, Desativado | 1.0.0 |
O Web Application Firewall (WAF) deve usar o modo especificado para o Azure Front Door Service | Exige o uso do modo 'Detecção' ou 'Prevenção' para estar ativo em todas as políticas do Web Application Firewall para o Azure Front Door Service. | Auditoria, Negar, Desativado | 1.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.