Rekommendationer för beräkningssäkerhet
I den här artikeln visas alla säkerhetsrekommendationer för beräkning med flera moln som du kan se i Microsoft Defender för molnet.
Rekommendationerna som visas i din miljö baseras på de resurser som du skyddar och på din anpassade konfiguration.
Mer information om åtgärder som du kan vidta som svar på dessa rekommendationer finns i Åtgärda rekommendationer i Defender för molnet.
Dricks
Om en rekommendationsbeskrivning säger Ingen relaterad princip beror det vanligtvis på att rekommendationen är beroende av en annan rekommendation.
Rekommendationen Slutpunktsskyddshälsofel bör till exempel åtgärdas förlitar sig på rekommendationen som kontrollerar om en slutpunktsskyddslösning är installerad (Slutpunktsskyddslösningen ska installeras). Den underliggande rekommendationen har en princip. Att begränsa principer till endast grundläggande rekommendationer förenklar principhanteringen.
Rekommendationer vid Azure-beräkning
Systemuppdateringar bör installeras på dina datorer (drivs av Update Center)
Beskrivning: Datorerna saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer.
Allvarlighetsgrad: Låg
Datorer bör konfigureras för att regelbundet söka efter systemuppdateringar som saknas
Beskrivning: För att säkerställa att periodiska utvärderingar för saknade systemuppdateringar utlöses automatiskt var 24:e timme ska egenskapen AssessmentMode vara inställd på "AutomaticByPlatform". Läs mer om egenskapen AssessmentMode för Windows: https://aka.ms/computevm-windowspatchassessmentmode, för Linux: https://aka.ms/computevm-linuxpatchassessmentmode.
Allvarlighetsgrad: Låg
Anpassningsbara programkontroller för att definiera säkra program ska aktiveras på dina datorer
Beskrivning: Aktivera programkontroller för att definiera listan över kända och säkra program som körs på dina datorer och varna dig när andra program körs. Detta hjälper dig att skydda dina datorer mot skadlig kod. För att förenkla processen med att konfigurera och underhålla dina regler använder Defender för molnet maskininlärning för att analysera de program som körs på varje dator och föreslå listan över kända och säkra program. (Relaterad princip: Anpassningsbara programkontroller för att definiera säkra program bör aktiveras på dina datorer).
Allvarlighetsgrad: Hög
Tillåtlisteregler i din princip för anpassningsbar programkontroll bör uppdateras
Beskrivning: Övervaka ändringar i beteendet på grupper av datorer som konfigurerats för granskning av Defender for Clouds anpassningsbara programkontroller. Defender for Cloud använder maskininlärning för att analysera de processer som körs på dina datorer och föreslå en lista över kända och säkra program. Dessa visas som rekommenderade appar för att tillåta anpassningsbara programkontrollprinciper. (Relaterad princip: Tillåtlistningsregler i din princip för anpassningsbar programkontroll bör uppdateras).
Allvarlighetsgrad: Hög
Autentisering till Linux-datorer bör kräva SSH-nycklar
Beskrivning: Även om SSH själv tillhandahåller en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer i Detaljerade steg: Skapa och hantera SSH-nycklar för autentisering till en virtuell Linux-dator i Azure. (Relaterad princip: Granska Linux-datorer som inte använder SSH-nyckel för autentisering).
Allvarlighetsgrad: Medel
Automation-kontovariabler ska krypteras
Beskrivning: Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras. (Relaterad princip: Automation-kontovariabler ska krypteras).
Allvarlighetsgrad: Hög
Azure Backup ska vara aktiverat för virtuella datorer
Beskrivning: Skydda data på dina virtuella Azure-datorer med Azure Backup. Azure Backup är en Azure-inbyggd, kostnadseffektiv dataskyddslösning. Den skapar återställningspunkter som lagras i geo-redundanta återställningsvalv. När du återställer från en återställningspunkt kan du återställa hela den virtuella datorn eller specifika filer. (Relaterad princip: Azure Backup ska vara aktiverat för virtuella datorer).
Allvarlighetsgrad: Låg
(Förhandsversion) Azure Stack HCI-servrar bör uppfylla kraven för säkra kärnor
Beskrivning: Se till att alla Azure Stack HCI-servrar uppfyller kraven för skyddad kärna. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).
Allvarlighetsgrad: Låg
(Förhandsversion) Azure Stack HCI-servrar bör ha konsekvent framtvingade principer för programkontroll
Beskrivning: Tillämpa minst Microsoft WDAC-basprincipen i framtvingat läge på alla Azure Stack HCI-servrar. Tillämpade WDAC-principer (Windows Defender Application Control) måste vara konsekventa mellan servrar i samma kluster. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).
Allvarlighetsgrad: Hög
(Förhandsversion) Azure Stack HCI-system ska ha krypterade volymer
Beskrivning: Använd BitLocker för att kryptera operativsystemet och datavolymerna i Azure Stack HCI-system. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).
Allvarlighetsgrad: Hög
Containervärdar ska konfigureras på ett säkert sätt
Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationsinställningar på datorer med Docker installerat för att skydda dem från attacker. (Relaterad princip: Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas).
Allvarlighetsgrad: Hög
Diagnostikloggar i Azure Stream Analytics ska vara aktiverade
Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Azure Stream Analytics ska vara aktiverade).
Allvarlighetsgrad: Låg
Diagnostikloggar i Batch-konton ska vara aktiverade
Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Batch-konton ska vara aktiverade).
Allvarlighetsgrad: Låg
Diagnostikloggar i Event Hubs ska vara aktiverade
Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Event Hubs ska vara aktiverade).
Allvarlighetsgrad: Låg
Diagnostikloggar i Logic Apps ska vara aktiverade
Beskrivning: Aktivera loggning för att säkerställa att du kan återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller om nätverket har komprometterats. Om diagnostikloggarna inte skickas till en Log Analytics-arbetsyta, Ett Azure Storage-konto eller Azure Event Hubs kontrollerar du att du har konfigurerat diagnostikinställningar för att skicka plattformsmått och plattformsloggar till relevanta mål. Läs mer i Skapa diagnostikinställningar för att skicka plattformsloggar och mått till olika mål. (Relaterad princip: Diagnostikloggar i Logic Apps ska vara aktiverade).
Allvarlighetsgrad: Låg
Diagnostikloggar i Service Bus ska vara aktiverade
Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i Service Bus ska vara aktiverade).
Allvarlighetsgrad: Låg
Diagnostikloggar i VM-skalningsuppsättningar ska vara aktiverade
Beskrivning: Aktivera loggar och behålla dem i upp till ett år. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte när en säkerhetsincident inträffar eller nätverket komprometteras. (Relaterad princip: Diagnostikloggar i VM-skalningsuppsättningar ska vara aktiverade).
Allvarlighetsgrad: Hög
EDR-konfigurationsproblem bör lösas på virtuella datorer
Beskrivning: Lös alla identifierade konfigurationsproblem med den installerade EDR-lösningen (Endpoint Detection and Response) för att skydda virtuella datorer från de senaste hoten och sårbarheterna. För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender za krajnju tačku aktiverat.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Låg
EDR-lösningen bör installeras på virtuella datorer
Beskrivning: Det är viktigt att installera en lösning för slutpunktsidentifiering och svar (EDR) på virtuella datorer för skydd mot avancerade hot. EDR:er hjälper till att förebygga, identifiera, undersöka och svara på dessa hot. Microsoft Defender för servrar kan användas för att distribuera Microsoft Defender za krajnju tačku.
- Om en resurs klassificeras som "Inte felfri" anger den att det inte finns någon EDR-lösning som stöds.
- Om en EDR-lösning installeras men inte kan identifieras av den här rekommendationen kan den undantas
- Utan en EDR-lösning riskerar de virtuella datorerna att utsättas för avancerade hot.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Hög
Problem med slutpunktsskyddshälsa på vm-skalningsuppsättningar bör lösas
Beskrivning: På VM-skalningsuppsättningar åtgärdar du hälsofel för slutpunktsskydd för att skydda dem mot hot och sårbarheter. (Relaterad princip: Slutpunktsskyddslösningen bör installeras på vm-skalningsuppsättningar).
Allvarlighetsgrad: Låg
Slutpunktsskydd ska installeras på VM-skalningsuppsättningar
Beskrivning: Installera en slutpunktsskyddslösning på dina vm-skalningsuppsättningar för att skydda dem mot hot och sårbarheter. (Relaterad princip: Slutpunktsskyddslösningen bör installeras på vm-skalningsuppsättningar).
Allvarlighetsgrad: Hög
Övervakning av filintegritet ska aktiveras på datorer
Beskrivning: Defender för molnet har identifierat datorer som saknar en filintegritetsövervakningslösning. Aktivera övervakning av filintegritet om du vill övervaka ändringar i viktiga filer, registernycklar med mera på dina servrar. När övervakningslösningen för filintegritet är aktiverad skapar du regler för datainsamling för att definiera de filer som ska övervakas. Om du vill definiera regler eller se de filer som har ändrats på datorer med befintliga regler går du till sidan för hantering av filintegritetsövervakning. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds
Beskrivning: Installera gästattesteringstillägget på skalningsuppsättningar för virtuella Linux-datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade skalningsuppsättningar för virtuella Linux-datorer.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Gästattesteringstillägget bör installeras på virtuella Linux-datorer som stöds
Beskrivning: Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast betrodda startaktiverade virtuella Linux-datorer.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Gästattesteringstillägget bör installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds
Beskrivning: Installera gästattesteringstillägget på skalningsuppsättningar för virtuella datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade vm-skalningsuppsättningar.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Gästattesteringstillägget bör installeras på virtuella Windows-datorer som stöds
Beskrivning: Installera gästattesteringstillägget på virtuella datorer som stöds så att Microsoft Defender för molnet proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Gästkonfigurationstillägget ska installeras på datorer
Beskrivning: Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel Windows Exploit guard, ska vara aktiverade. (Relaterad princip: Virtuella datorer ska ha gästkonfigurationstillägget).
Allvarlighetsgrad: Medel
(Förhandsversion) Värd- och VM-nätverk bör skyddas på Azure Stack HCI-system
Beskrivning: Skydda data i Azure Stack HCI-värdens nätverk och på nätverksanslutningar för virtuella datorer. (Relaterad princip: Gästkonfigurationstillägget ska installeras på datorer – Microsoft Azure).
Allvarlighetsgrad: Låg
Installera slutpunktsskyddslösning på virtuella datorer
Beskrivning: Installera en slutpunktsskyddslösning på dina virtuella datorer för att skydda dem mot hot och sårbarheter. (Relaterad princip: Övervaka saknat Endpoint Protection i Azure Security Center).
Allvarlighetsgrad: Hög
Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
Beskrivning: Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Gå till Översikt över krypteringsalternativ för hanterade diskar för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i Förstå Azure Machine Configuration. (Relaterad princip: [Förhandsversion]: Virtuella Linux-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost).
Ersätter den äldre rekommendationen Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser. Med rekommendationen kan du granska efterlevnaden av VM-kryptering.
Allvarlighetsgrad: Hög
Virtuella Linux-datorer bör framtvinga validering av kernelmodulens signatur
Beskrivning: För att minimera körningen av skadlig eller obehörig kod i kernelläge, framtvinga verifiering av kernelmodulens signatur på virtuella Linux-datorer som stöds. Validering av kernelmodulens signatur säkerställer att endast betrodda kernelmoduler tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Virtuella Linux-datorer bör endast använda signerade och betrodda startkomponenter
Beskrivning: Med Säker start aktiverat måste alla os-startkomponenter (startinläsare, kernel- och kerneldrivrutiner) signeras av betrodda utgivare. Defender for Cloud har identifierat os-startkomponenter som inte är betrodda på en eller flera av dina Linux-datorer. Om du vill skydda dina datorer från potentiellt skadliga komponenter lägger du till dem i listan över tillåtna eller tar bort de identifierade komponenterna. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Virtuella Linux-datorer bör använda säker start
Beskrivning: Aktivera Säker start på virtuella Linux-datorer som stöds för att skydda mot installation av rotkits och startpaket baserade på skadlig kod. Säker start säkerställer att endast signerade operativsystem och drivrutiner tillåts köras. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Log Analytics-agenten bör installeras på Linux-baserade Azure Arc-aktiverade datorer
Beskrivning: Defender för molnet använder Log Analytics-agenten (även kallat OMS) för att samla in säkerhetshändelser från dina Azure Arc-datorer. Om du vill distribuera agenten på alla dina Azure Arc-datorer följer du reparationsstegen. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
När användningen av AMA och MMA fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024
Log Analytics-agenten ska installeras på VM-skalningsuppsättningar
Beskrivning: Defender för molnet samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. Data samlas in med Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din arbetsyta för analys. Du måste också följa den proceduren om dina virtuella datorer används av en Azure-hanterad tjänst, till exempel Azure Kubernetes Service eller Azure Service Fabric. Du kan inte konfigurera automatisk etablering av agenten för skalningsuppsättningar för virtuella Azure-datorer. Om du vill distribuera agenten på vm-skalningsuppsättningar (inklusive de som används av Azure-hanterade tjänster som Azure Kubernetes Service och Azure Service Fabric) följer du stegen i reparationsstegen. (Relaterad princip: Log Analytics-agenten bör installeras på dina VM-skalningsuppsättningar för Azure Security Center-övervakning).
När användningen av AMA och MMA fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024
Allvarlighetsgrad: Hög
Log Analytics-agenten bör installeras på virtuella datorer
Beskrivning: Defender för molnet samlar in data från dina virtuella Azure-datorer för att övervaka säkerhetsrisker och hot. Data samlas in med Log Analytics-agenten, tidigare kallad Microsoft Monitoring Agent (MMA), som läser olika säkerhetsrelaterade konfigurationer och händelseloggar från datorn och kopierar data till din Log Analytics-arbetsyta för analys. Den här agenten krävs också om dina virtuella datorer används av en Azure-hanterad tjänst, till exempel Azure Kubernetes Service eller Azure Service Fabric. Vi rekommenderar att du konfigurerar automatisk etablering så att agenten distribueras automatiskt. Om du väljer att inte använda automatisk etablering distribuerar du agenten manuellt till dina virtuella datorer med hjälp av anvisningarna i reparationsstegen. (Relaterad princip: Log Analytics-agenten bör installeras på den virtuella datorn för Azure Security Center-övervakning).
När användningen av AMA och MMA fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024
Allvarlighetsgrad: Hög
Log Analytics-agenten bör installeras på Windows-baserade Azure Arc-aktiverade datorer
Beskrivning: Defender för molnet använder Log Analytics-agenten (även kallat MMA) för att samla in säkerhetshändelser från dina Azure Arc-datorer. Om du vill distribuera agenten på alla dina Azure Arc-datorer följer du reparationsstegen. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
När användningen av AMA och MMA fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024
Datorer bör konfigureras på ett säkert sätt
Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina datorer för att skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas).
Den här rekommendationen hjälper dig att förbättra serverns säkerhetsstatus. Defender for Cloud förbättrar cis-riktmärkena (Center for Internet Security) genom att tillhandahålla säkerhetsbaslinjer som drivs av Upravljanje ranjivostima za Microsoft Defender. Läs mer.
Allvarlighetsgrad: Låg
Datorer bör startas om för att tillämpa säkerhetskonfigurationsuppdateringar
Beskrivning: Starta om datorerna om du vill tillämpa säkerhetskonfigurationsuppdateringar och skydda mot säkerhetsrisker. Den här utvärderingen gäller endast för virtuella Linux-datorer som har Azure Monitor-agenten installerad. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Datorer bör ha en lösning för sårbarhetsbedömning
Beskrivning: Defender for Cloud kontrollerar regelbundet dina anslutna datorer för att säkerställa att de kör verktyg för sårbarhetsbedömning. Använd den här rekommendationen för att distribuera en lösning för sårbarhetsbedömning. (Relaterad princip: En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer).
Allvarlighetsgrad: Medel
Datorer bör lösa sårbarhetsresultat
Beskrivning: Lös resultaten från lösningarna för sårbarhetsbedömning på dina virtuella datorer. (Relaterad princip: En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer).
Allvarlighetsgrad: Låg
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk
Beskrivning: Defender för molnet har identifierat några alltför tillåtande regler för inkommande trafik för hanteringsportar i din nätverkssäkerhetsgrupp. Aktivera just-in-time-åtkomstkontroll för att skydda den virtuella datorn från internetbaserade brute-force-attacker. Läs mer i Förstå jit-åtkomst (just-in-time) för virtuella datorer. (Relaterad princip: Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk).
Allvarlighetsgrad: Hög
Microsoft Defender för servrar ska vara aktiverat
Beskrivning: Microsoft Defender för servrar ger skydd mot hot i realtid för dina serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. Du kan använda den här informationen för att snabbt åtgärda säkerhetsproblem och förbättra säkerheten för dina servrar.
Om du åtgärdar den här rekommendationen debiteras du för att skydda dina servrar. Om du inte har några servrar i den här prenumerationen debiteras inga avgifter. Om du skapar några servrar för den här prenumerationen i framtiden skyddas de automatiskt och avgifterna börjar då. Läs mer i Introduktion till Microsoft Defender för servrar. (Relaterad princip: Azure Defender för servrar ska vara aktiverat).
Allvarlighetsgrad: Hög
Microsoft Defender för servrar ska vara aktiverat på arbetsytor
Beskrivning: Microsoft Defender för servrar ger hotidentifiering och avancerat skydd för dina Windows- och Linux-datorer. Med den här Defender-planen aktiverad i dina prenumerationer, men inte på dina arbetsytor, betalar du för den fulla kapaciteten hos Microsoft Defender för servrar men går miste om några av fördelarna. När du aktiverar Microsoft Defender för servrar på en arbetsyta debiteras alla datorer som rapporterar till arbetsytan för Microsoft Defender för servrar – även om de finns i prenumerationer utan att Defender-planer är aktiverade. Om du inte också aktiverar Microsoft Defender för servrar i prenumerationen kan dessa datorer inte dra nytta av just-in-time-åtkomst till virtuella datorer, anpassningsbara programkontroller och nätverksidentifieringar för Azure-resurser. Läs mer i Introduktion till Microsoft Defender för servrar. (Ingen relaterad princip)
Allvarlighetsgrad: Medel
Säker start bör aktiveras på virtuella Windows-datorer som stöds
Beskrivning: Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella Windows-datorer.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign
Beskrivning: Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för nod-till-nod-kommunikation med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden är krypterade och digitalt signerade. (Relaterad princip: Service Fabric-kluster bör ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign).
Allvarlighetsgrad: Hög
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
Beskrivning: Utför endast klientautentisering via Azure Active Directory i Service Fabric (relaterad princip: Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering).
Allvarlighetsgrad: Hög
Systemuppdateringar på vm-skalningsuppsättningar ska installeras
Beskrivning: Installera systemsäkerhet som saknas och viktiga uppdateringar för att skydda skalningsuppsättningar för virtuella Windows- och Linux-datorer. (Relaterad princip: Systemuppdateringar på vm-skalningsuppsättningar bör installeras).
Eftersom användningen av Azure Monitor Agent (AMA) och Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)) fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024. Dessa rekommendationer ersätts av nya.
Allvarlighetsgrad: Hög
Systemuppdateringar bör installeras på dina datorer
Beskrivning: Installera systemsäkerhet som saknas och viktiga uppdateringar för att skydda dina virtuella Windows- och Linux-datorer (Relaterad princip: Systemuppdateringar bör installeras på dina datorer).
Eftersom användningen av Azure Monitor Agent (AMA) och Log Analytics-agenten (även kallad Microsoft Monitoring Agent (MMA)) fasas ut i Defender för servrar tas rekommendationer som förlitar sig på dessa agenter, som den här, bort. I stället använder Defender for Servers-funktionerna Microsoft Defender za krajnju tačku-agenten, eller agentlös genomsökning, utan beroende av MMA eller AMA.
Beräknad utfasning: juli 2024. Dessa rekommendationer ersätts av nya.
Allvarlighetsgrad: Hög
Systemuppdateringar bör installeras på dina datorer (drivs av Update Center)
Beskrivning: Datorerna saknar system, säkerhet och kritiska uppdateringar. Programuppdateringar innehåller ofta viktiga korrigeringar av säkerhetshål. Sådana hål utnyttjas ofta i attacker mot skadlig kod, så det är viktigt att hålla programvaran uppdaterad. Följ reparationsstegen för att installera alla utestående korrigeringar och skydda dina datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Hög
Virtuella datorer och vm-skalningsuppsättningar ska ha kryptering på värden aktiverat
Beskrivning: Använd kryptering på värden för att hämta kryptering från slutpunkt till slutpunkt för din virtuella dator och vm-skalningsuppsättningsdata. Kryptering på värden möjliggör kryptering i vila för dina tillfälliga disk- och OS/datadiskcacheminnen. Tillfälliga och tillfälliga OS-diskar krypteras med plattformshanterade nycklar när kryptering på värden är aktiverat. OS/datadiskcache krypteras i vila med antingen kundhanterad eller plattformshanterad nyckel, beroende på vilken krypteringstyp som valts på disken. Läs mer i Använda Azure-portalen för att aktivera kryptering från slutpunkt till slutpunkt med hjälp av kryptering på värden. (Relaterad princip: Virtuella datorer och VM-skalningsuppsättningar bör ha kryptering på värden aktiverat).
Allvarlighetsgrad: Medel
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser
Beskrivning: Virtuella datorer (klassiska) är inaktuella och dessa virtuella datorer bör migreras till Azure Resource Manager. Eftersom Azure Resource Manager nu har fullständiga IaaS-funktioner och andra framsteg har vi tagit bort hanteringen av virtuella IaaS-datorer via Azure Service Manager (ASM) den 28 februari 2020. Den här funktionen dras tillbaka helt den 1 mars 2023.
Om du vill visa alla berörda klassiska virtuella datorer måste du välja alla dina Azure-prenumerationer under fliken Kataloger + prenumerationer.
Tillgängliga resurser och information om det här verktyget och migreringen: Översikt över utfasning av virtuella datorer (klassisk), steg för steg-process för migrering och tillgängliga Microsoft-resurser.Information om migreringsverktyget för Migrering till Azure Resource Manager.Migrera till Azure Resource Manager-migreringsverktyget med hjälp av PowerShell. (Relaterad princip: Virtuella datorer ska migreras till nya Azure Resource Manager-resurser).
Allvarlighetsgrad: Hög
Gästattesteringsstatusen för virtuella datorer bör vara felfri
Beskrivning: Gästattestering utförs genom att skicka en betrodd logg (TCGLog) till en attesteringsserver. Servern använder dessa loggar för att avgöra om startkomponenterna är tillförlitliga. Den här utvärderingen är avsedd att identifiera kompromisser i startkedjan, vilket kan bero på en eller rootkit en bootkit infektion.
Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer som har gästattesteringstillägget installerat.
(Ingen relaterad princip)
Allvarlighetsgrad: Medel
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet
Beskrivning: Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer (Relaterad princip: Gästkonfigurationstillägget ska distribueras till virtuella Azure-datorer med systemtilldelad hanterad identitet).
Allvarlighetsgrad: Medel
Vm-skalningsuppsättningar ska konfigureras på ett säkert sätt
Beskrivning: Åtgärda säkerhetsrisker i vm-skalningsuppsättningar för att skydda dem mot attacker. (Relaterad princip: Säkerhetsrisker i säkerhetskonfigurationen på dina VM-skalningsuppsättningar bör åtgärdas).
Allvarlighetsgrad: Hög
Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser
Beskrivning: Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. En jämförelse av olika diskkrypteringstekniker i Azure finns i Översikt av alternativ för kryptering av hanterade diskar. Använd Azure Disk Encryption för att kryptera alla dessa data. Ignorera den här rekommendationen om:
Du använder funktionen encryption-at-host eller kryptering på serversidan på hanterade diskar uppfyller dina säkerhetskrav. Läs mer om kryptering på serversidan av Azure Disk Storage.
(Relaterad princip: Diskkryptering bör tillämpas på virtuella datorer)
Allvarlighetsgrad: Hög
vTPM ska vara aktiverat på virtuella datorer som stöds
Beskrivning: Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer.
- Betrodd start kräver att nya virtuella datorer skapas.
- Du kan inte aktivera betrodd start på befintliga virtuella datorer som ursprungligen skapades utan den.
Läs mer om betrodd start för virtuella Azure-datorer. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer bör åtgärdas (drivs av gästkonfiguration)
Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina Linux-datorer för att skydda dem mot attacker. (Relaterad princip: Linux-datorer bör uppfylla kraven för Azure-säkerhetsbaslinjen).
Allvarlighetsgrad: Låg
Säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer bör åtgärdas (drivs av gästkonfiguration)
Beskrivning: Åtgärda säkerhetsrisker i säkerhetskonfigurationen på dina Windows-datorer för att skydda dem mot attacker. (Ingen relaterad princip)
Allvarlighetsgrad: Låg
Windows Defender Exploit Guard ska vara aktiverat på datorer
Beskrivning: Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). (Relaterad princip: Granska Windows-datorer där Windows Defender Exploit Guard inte är aktiverat).
Allvarlighetsgrad: Medel
Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost
Beskrivning: Som standard krypteras en virtuell dators operativsystem och datadiskar i vila med hjälp av plattformshanterade nycklar. Temporära diskar och datacacheminnen krypteras inte och data krypteras inte när de flödar mellan beräknings- och lagringsresurser. Använd Azure Disk Encryption eller EncryptionAtHost för att kryptera alla dessa data. Gå till Översikt över krypteringsalternativ för hanterade diskar för att jämföra krypteringserbjudanden. Den här principen kräver två krav för att distribueras till principtilldelningsomfånget. Mer information finns i Förstå Azure Machine Configuration. (Relaterad princip: [Förhandsversion]: Virtuella Windows-datorer bör aktivera Azure Disk Encryption eller EncryptionAtHost).
Ersätter den äldre rekommendationen Virtuella datorer ska kryptera temporära diskar, cacheminnen och dataflöden mellan beräknings- och lagringsresurser. Med rekommendationen kan du granska efterlevnaden av VM-kryptering.
Allvarlighetsgrad: Hög
Windows-webbservrar ska konfigureras för att använda säkra kommunikationsprotokoll
Beskrivning: För att skydda sekretessen för information som kommuniceras via Internet bör dina webbservrar använda den senaste versionen av det branschstandardbaserade kryptografiska protokollet Transport Layer Security (TLS). TLS skyddar kommunikationen via ett nätverk med hjälp av säkerhetscertifikat för att kryptera en anslutning mellan datorer. (Relaterad princip: Granska Windows-webbservrar som inte använder säkra kommunikationsprotokoll).
Allvarlighetsgrad: Hög
Rekommendationer för AWS-beräkning
Amazon EC2-instanser som hanteras av Systems Manager bör ha en uppdateringsefterlevnadsstatus som KOMPATIBEL efter en korrigeringsinstallation
Beskrivning: Den här kontrollen kontrollerar om efterlevnadsstatusen för Amazon EC2 Systems Manager-korrigeringsefterlevnad är KOMPATIBEL eller NON_COMPLIANT efter korrigeringsinstallationen på instansen. Den kontrollerar endast instanser som hanteras av AWS Systems Manager Patch Manager. Den kontrollerar inte om korrigeringen tillämpades inom den 30-dagarsgräns som föreskrivs av PCI DSS-kravet "6.2". Det verifierar inte heller om de tillämpade korrigeringarna klassificerades som säkerhetskorrigeringar. Du bör skapa korrigeringsgrupper med lämpliga baslinjeinställningar och se till att system i omfånget hanteras av dessa korrigeringsgrupper i Systems Manager. Mer information om korrigeringsgrupper finns i användarhandboken för AWS Systems Manager.
Allvarlighetsgrad: Medel
Amazon EFS bör konfigureras för att kryptera fildata i vila med hjälp av AWS KMS
Beskrivning: Den här kontrollen kontrollerar om Amazon Elastic File System är konfigurerat för att kryptera fildata med hjälp av AWS KMS. Kontrollen misslyckas i följande fall: *"Krypterad" är inställd på "false" i Svaret DescribeFileSystems. Nyckeln "KmsKeyId" i Svaret DescribeFileSystems matchar inte parametern KmsKeyId för efs-encrypted-check. Observera att den här kontrollen inte använder parametern "KmsKeyId" för efs-encrypted-check. Den kontrollerar bara värdet "Krypterad". För ett extra säkerhetslager för dina känsliga data i Amazon EFS bör du skapa krypterade filsystem. Amazon EFS stöder kryptering för filsystem i vila. Du kan aktivera kryptering av vilande data när du skapar ett Amazon EFS-filsystem. Mer information om Amazon EFS-kryptering finns i Datakryptering i Amazon EFS i användarhandboken för Amazon Elastic File System.
Allvarlighetsgrad: Medel
Amazon EFS-volymer bör finnas i säkerhetskopieringsplaner
Beskrivning: Den här kontrollen kontrollerar om Amazon Elastic File System(Amazon EFS) filsystem läggs till i säkerhetskopieringsplanerna i AWS Backup. Kontrollen misslyckas om Amazon EFS-filsystem inte ingår i säkerhetskopieringsplanerna. Genom att inkludera EFS-filsystem i säkerhetskopieringsplanerna kan du skydda dina data från borttagning och dataförlust.
Allvarlighetsgrad: Medel
Borttagningsskydd för programlastbalanserare ska vara aktiverat
Beskrivning: Den här kontrollen kontrollerar om ett program load balancer har borttagningsskydd aktiverat. Kontrollen misslyckas om borttagningsskyddet inte har konfigurerats. Aktivera borttagningsskydd för att skydda programlastbalanseraren från borttagning.
Allvarlighetsgrad: Medel
Automatiska skalningsgrupper som är associerade med en lastbalanserare bör använda hälsokontroller
Beskrivning: Automatiska skalningsgrupper som är associerade med en lastbalanserare använder hälsokontroller för elastisk belastningsutjämning. PCI DSS kräver inte belastningsutjämning eller konfigurationer med hög tillgänglighet. Detta rekommenderas av metodtips för AWS.
Allvarlighetsgrad: Låg
AWS-konton bör ha automatisk etablering i Azure Arc aktiverad
Beskrivning: För fullständig insyn i säkerhetsinnehållet från Microsoft Defender för servrar bör EC2-instanser vara anslutna till Azure Arc. För att säkerställa att alla berättigade EC2-instanser automatiskt tar emot Azure Arc aktiverar du automatisk avetablering från Defender för molnet på AWS-kontonivå. Läs mer om Azure Arc och Microsoft Defender för servrar.
Allvarlighetsgrad: Hög
CloudFront-distributioner bör ha ursprungsredundans konfigurerad
Beskrivning: Den här kontrollen kontrollerar om en Amazon CloudFront-distribution har konfigurerats med en ursprungsgrupp som har två eller flera ursprung. Redundansväxling med CloudFront-ursprung kan öka tillgängligheten. Redundansväxling av ursprung omdirigerar automatiskt trafik till ett sekundärt ursprung om det primära ursprunget inte är tillgängligt eller om det returnerar specifika HTTP-svarsstatuskoder.
Allvarlighetsgrad: Medel
CodeBuild GitHub- eller Bitbucket-källlagringsplatsens URL:er bör använda OAuth
Beskrivning: Den här kontrollen kontrollerar om GitHub- eller Bitbucket-källlagringsplatsens URL innehåller antingen personliga åtkomsttoken eller ett användarnamn och lösenord. Autentiseringsuppgifter bör aldrig lagras eller överföras i klartext eller visas i lagringsplatsens URL. I stället för personliga åtkomsttoken eller användarnamn och lösenord bör du använda OAuth för att bevilja auktorisering för åtkomst till GitHub- eller Bitbucket-lagringsplatser. Om du använder personliga åtkomsttoken eller ett användarnamn och lösenord kan dina autentiseringsuppgifter exponeras för oavsiktlig dataexponering och obehörig åtkomst.
Allvarlighetsgrad: Hög
CodeBuild-projektmiljövariabler får inte innehålla autentiseringsuppgifter
Beskrivning: Den här kontrollen kontrollerar om projektet innehåller miljövariablerna AWS_ACCESS_KEY_ID och AWS_SECRET_ACCESS_KEY.
Autentiseringsuppgifter AWS_ACCESS_KEY_ID och AWS_SECRET_ACCESS_KEY bör aldrig lagras i klartext, eftersom detta kan leda till oavsiktlig dataexponering och obehörig åtkomst.
Allvarlighetsgrad: Hög
DynamoDB-acceleratorkluster (DAX) ska krypteras i vila
Beskrivning: Den här kontrollen kontrollerar om ett DAX-kluster krypteras i vila. Om vilande data krypteras minskar risken för att data som lagras på disken används av en användare som inte autentiseras till AWS. Krypteringen lägger till ytterligare en uppsättning åtkomstkontroller för att begränsa möjligheten för obehöriga användare att komma åt data. API-behörigheter krävs till exempel för att dekryptera data innan de kan läsas.
Allvarlighetsgrad: Medel
DynamoDB-tabeller bör automatiskt skala kapacitet med efterfrågan
Beskrivning: Den här kontrollen kontrollerar om en Amazon DynamoDB-tabell kan skala sin läs- och skrivkapacitet efter behov. Den här kontrollen skickas om tabellen använder antingen kapacitetsläge på begäran eller etablerat läge med automatisk skalning konfigurerad. Skalningskapacitet med efterfrågan undviker begränsningsfel, vilket bidrar till att upprätthålla tillgängligheten för dina program.
Allvarlighetsgrad: Medel
EC2-instanser ska vara anslutna till Azure Arc
Beskrivning: Anslut dina EC2-instanser till Azure Arc för att få fullständig insyn i säkerhetsinnehållet i Microsoft Defender för servrar. Läs mer om Azure Arc och om Microsoft Defender för servrar i hybridmolnmiljö.
Allvarlighetsgrad: Hög
EC2-instanser ska hanteras av AWS Systems Manager
Beskrivning: Status för Amazon EC2 Systems Manager-korrigeringsefterlevnad är "KOMPATIBEL" eller "NON_COMPLIANT" efter korrigeringsinstallationen på instansen. Endast instanser som hanteras av AWS Systems Manager Patch Manager kontrolleras. Korrigeringar som tillämpades inom den 30-dagarsgräns som föreskrivs av PCI DSS-kravet "6" kontrolleras inte.
Allvarlighetsgrad: Medel
EDR-konfigurationsproblem bör lösas på EC2s
Beskrivning: Lös alla identifierade konfigurationsproblem med den installerade EDR-lösningen (Endpoint Detection and Response) för att skydda virtuella datorer från de senaste hoten och sårbarheterna. För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender za krajnju tačku aktiverat.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Hög
EDR-lösningen bör installeras på EC2s
Beskrivning: Installera en EDR-lösning (Endpoint Detection and Response) för att skydda EC2s. EDR:er hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender za krajnju tačku. Om resursen klassificeras som "Inte felfri" har den ingen EDR-lösning som stöds installerad. Om du har en EDR-lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Hög
Instanser som hanteras av Systems Manager bör ha statusen kompatibel med en association
Beskrivning: Den här kontrollen kontrollerar om statusen för AWS Systems Manager-associationsefterlevnad är KOMPATIBEL eller NON_COMPLIANT efter att associationen har körts på en instans. Kontrollen godkänns om associationens efterlevnadsstatus är KOMPATIBEL. En State Manager-association är en konfiguration som har tilldelats till dina hanterade instanser. Konfigurationen definierar det tillstånd som du vill underhålla på dina instanser. En association kan till exempel ange att antivirusprogram måste installeras och köras på dina instanser, eller att vissa portar måste stängas. När du har skapat en eller flera State Manager-associationer är information om efterlevnadsstatus omedelbart tillgänglig för dig i konsolen eller som svar på AWS CLI-kommandon eller motsvarande System Manager API-åtgärder. För associationer visar "Konfigurationsefterlevnad" status för Kompatibel eller Icke-kompatibel och allvarlighetsgraden som tilldelats associationen, till exempel Kritisk eller Medel. Mer information om state manager-associationsefterlevnad finns i Om State Manager-associationsefterlevnad i användarhandboken för AWS Systems Manager. Du måste konfigurera EC2-instanser i omfånget för Systems Manager-associationen. Du måste också konfigurera korrigeringsbaslinjen för säkerhetsklassificeringen för leverantören av korrigeringar och ange det automatiska godkännandedatumet så att det uppfyller PCI DSS 3.2.1-kravet 6.2. Mer information om hur du skapar en association finns i Skapa en association i användarhandboken för AWS Systems Manager. Mer information om hur du arbetar med korrigeringar i Systems Manager finns i AWS Systems Manager Patch Manager i användarhandboken för AWS Systems Manager.
Allvarlighetsgrad: Låg
Lambda-funktioner ska ha en kö med obeställbara bokstäver konfigurerad
Beskrivning: Den här kontrollen kontrollerar om en Lambda-funktion har konfigurerats med en kö med obeställbara meddelanden. Kontrollen misslyckas om Lambda-funktionen inte har konfigurerats med en kö med obeställbara meddelanden. Som ett alternativ till ett mål för fel kan du konfigurera funktionen med en kö med obeställbara meddelanden för att spara borttagna händelser för vidare bearbetning. En kö med obeställbara meddelanden fungerar på samma sätt som ett mål vid fel. Den används när en händelse misslyckas med alla bearbetningsförsök eller upphör att gälla utan att bearbetas. Med en kö med obeställbara meddelanden kan du se tillbaka på fel eller misslyckade begäranden till Lambda-funktionen för att felsöka eller identifiera ovanligt beteende. Ur ett säkerhetsperspektiv är det viktigt att förstå varför din funktion misslyckades och att se till att funktionen inte släpper data eller äventyrar datasäkerheten som ett resultat. Om din funktion till exempel inte kan kommunicera med en underliggande resurs kan det vara ett symptom på en DoS-attack (Denial of Service) någon annanstans i nätverket.
Allvarlighetsgrad: Medel
Lambda-funktioner bör använda körning som stöds
Beskrivning: Den här kontrollen kontrollerar att Lambda-funktionsinställningarna för körning matchar de förväntade värden som angetts för de körningskörningar som stöds för varje språk. Den här kontrollen söker efter följande runtimes: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1Lambda runtimes bygger på en kombination av operativsystem, programmeringsspråk och programvarubibliotek som omfattas av underhålls- och säkerhetsuppdateringar. När en körningskomponent inte längre stöds för säkerhetsuppdateringar inaktuella Lambda körningen. Även om du inte kan skapa funktioner som använder den inaktuella körningen är funktionen fortfarande tillgänglig för att bearbeta anropshändelser. Kontrollera att Lambda-funktionerna är aktuella och inte använder inaktuella körningsmiljöer. Mer information om vilka körningskörningar som stöds som den här kontrollen söker efter språk som stöds finns i AWS Lambda-körningar i utvecklarguiden för AWS Lambda.
Allvarlighetsgrad: Medel
Hanteringsportar för EC2-instanser bör skyddas med just-in-time-åtkomstkontroll för nätverk
Beskrivning: Microsoft Defender för molnet identifierade några alltför tillåtande regler för inkommande trafik för hanteringsportar i nätverket. Aktivera just-in-time-åtkomstkontroll för att skydda dina instanser från internetbaserade brute-force-attacker. Läs mer.
Allvarlighetsgrad: Hög
Oanvända EC2-säkerhetsgrupper bör tas bort
Beskrivning: Säkerhetsgrupper bör kopplas till Amazon EC2-instanser eller till en ENI. Felfri sökning kan tyda på att det finns oanvända Amazon EC2-säkerhetsgrupper.
Allvarlighetsgrad: Låg
GCP-beräkningsrekommendationer
Virtuella datorer för beräkningsmotorn bör använda det containeroptimerade operativsystemet
Beskrivning: Den här rekommendationen utvärderar konfigurationsegenskapen för en nodpool för nyckel/värde-paret, "imageType": "COS".
Allvarlighetsgrad: Låg
EDR-konfigurationsproblem bör lösas på virtuella GCP-datorer
Beskrivning: Lös alla identifierade konfigurationsproblem med den installerade EDR-lösningen (Endpoint Detection and Response) för att skydda virtuella datorer från de senaste hoten och sårbarheterna. För närvarande gäller den här rekommendationen endast för resurser med Microsoft Defender za krajnju tačku aktiverat.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Hög
EDR-lösningen bör installeras på virtuella GCP-datorer
Beskrivning: Installera en EDR-lösning (Endpoint Detection and Response) för att skydda virtuella datorer. EDR:er hjälper till att förhindra, identifiera, undersöka och svara på avancerade hot. Använd Microsoft Defender för servrar för att distribuera Microsoft Defender za krajnju tačku. Om resursen klassificeras som "Inte felfri" har den ingen EDR-lösning som stöds installerad. Om du har en EDR-lösning installerad som inte kan identifieras av den här rekommendationen kan du undanta den.
Den här rekommendationen för agentlös slutpunkt är tillgänglig om du har Defender for Servers Plan 2 eller Defender CSPM-planen. Läs mer om rekommendationer för agentlöst slutpunktsskydd.
- Dessa nya rekommendationer för agentlösa slutpunkter stöder Azure- och multimolndatorer. Lokala servrar stöds inte.
- Dessa nya rekommendationer för agentlösa slutpunkter ersätter befintliga rekommendationer Slutpunktsskydd ska installeras på dina datorer (förhandsversion) och Problem med slutpunktsskyddshälsa bör lösas på dina datorer (förhandsversion).
- Dessa äldre rekommendationer använder MMA/AMA-agenten och ersätts när agenterna fasas ut i Defender för servrar.
Allvarlighetsgrad: Hög
Se till att "Blockera projektomfattande SSH-nycklar" är aktiverat för VM-instanser
Beskrivning: Vi rekommenderar att du använder instansspecifika SSH-nycklar i stället för att använda vanliga/delade projektomfattande SSH-nycklar för att få åtkomst till instanser. Projektomfattande SSH-nycklar lagras i Compute/Project-meta-data. Projektomfattande SSH-nycklar kan användas för att logga in på alla instanser i projektet. Med hjälp av projektomfattande SSH-nycklar underlättas SSH-nyckelhanteringen, men om de komprometteras utgör det en säkerhetsrisk som kan påverka alla instanser i projektet. Vi rekommenderar att du använder instansspecifika SSH-nycklar som kan begränsa attackytan om SSH-nycklarna komprometteras.
Allvarlighetsgrad: Medel
Se till att beräkningsinstanser startas med avskärmad virtuell dator aktiverad
Beskrivning: För att skydda mot avancerade hot och se till att startinläsaren och den inbyggda programvaran på dina virtuella datorer är signerade och otampererade rekommenderar vi att Beräkningsinstanser startas med avskärmad virtuell dator aktiverad.
Avskärmade virtuella datorer är virtuella datorer på Google Cloud Platform som förstärkts av en uppsättning säkerhetskontroller som hjälper till att försvara sig mot rootkits och bootkits.
Avskärmad virtuell dator erbjuder verifierbar integritet för dina vm-instanser för beräkningsmotorn, så du kan vara säker på att dina instanser inte har komprometterats av skadlig kod på start- eller kernelnivå eller rootkits.
Den avskärmade virtuella datorns verifierbara integritet uppnås med hjälp av säker start, vTPM-aktiverad virtuell plattformsmodul (vTPM) och integritetsövervakning.
Avskärmade VM-instanser kör inbyggd programvara som är signerad och verifierad med Hjälp av Googles certifikatutfärdare, vilket säkerställer att instansens inbyggda programvara är oförändrad och upprättar roten för förtroende för säker start.
Integritetsövervakning hjälper dig att förstå och fatta beslut om tillståndet för dina vm-instanser och den avskärmade virtuella datorns vTPM aktiverar uppmätt start genom att utföra de mått som behövs för att skapa en känd bra startbaslinje, kallad integritetsprincipens baslinje.
Baslinjen för integritetsprincipen används för jämförelse med mått från efterföljande VM-start för att avgöra om något har ändrats.
Säker start hjälper till att säkerställa att systemet endast kör autentisk programvara genom att verifiera den digitala signaturen för alla startkomponenter och stoppa startprocessen om signaturverifieringen misslyckas.
Allvarlighetsgrad: Hög
Se till att "Aktivera anslutning till serieportar" inte är aktiverat för VM-instansen
Beskrivning: Interagera med en seriell port kallas ofta seriekonsolen, som liknar att använda ett terminalfönster, eftersom indata och utdata helt och hållet är i textläge och det finns inget grafiskt gränssnitt eller musstöd. Om du aktiverar den interaktiva seriekonsolen på en instans kan klienter försöka ansluta till den instansen från valfri IP-adress. Därför bör stöd för interaktiv seriekonsol inaktiveras. En virtuell datorinstans har fyra virtuella serieportar. Att interagera med en seriell port liknar att använda ett terminalfönster, eftersom indata och utdata helt och hållet är i textläge och det finns inget grafiskt gränssnitt eller musstöd. Instansens operativsystem, BIOS och andra entiteter på systemnivå skriver ofta utdata till serieportarna och kan acceptera indata som kommandon eller svar på frågor. Vanligtvis använder dessa entiteter på systemnivå den första serieporten (port 1) och seriell port 1 kallas ofta seriekonsolen. Den interaktiva seriekonsolen stöder inte IP-baserade åtkomstbegränsningar, till exempel IP-tillåtna listor. Om du aktiverar den interaktiva seriekonsolen på en instans kan klienter försöka ansluta till den instansen från valfri IP-adress. På så sätt kan vem som helst ansluta till den instansen om de känner till rätt SSH-nyckel, användarnamn, projekt-ID, zon och instansnamn. Därför bör stöd för interaktiv seriekonsol inaktiveras.
Allvarlighetsgrad: Medel
Se till att databasflaggan "log_duration" för Cloud SQL PostgreSQL-instansen är inställd på "på"
Beskrivning: Om du aktiverar inställningen log_hostname loggas varaktigheten för varje slutförd instruktion. Detta loggar inte frågans text och fungerar därför annorlunda än flaggan log_min_duration_statement. Det går inte att ändra den här parametern när sessionen har startats. Att övervaka den tid det tar att köra frågorna kan vara avgörande för att identifiera eventuella resursproblem och utvärdera serverns prestanda. Ytterligare steg som belastningsutjämning och användning av optimerade frågor kan vidtas för att säkerställa serverns prestanda och stabilitet. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Se till att databasflaggan "log_executor_stats" för Cloud SQL PostgreSQL-instansen är inställd på "off"
Beskrivning: PostgreSQL-utföraren ansvarar för att köra planen som överlämnats av PostgreSQL-planeraren. Kören bearbetar planen rekursivt för att extrahera den nödvändiga uppsättningen rader. Flaggan "log_executor_stats" styr inkluderingen av Prestandastatistik för PostgreSQL-kören i PostgreSQL-loggarna för varje fråga. Flaggan "log_executor_stats" möjliggör en rå profileringsmetod för loggning av prestandastatistik för PostgreSQL-köre, vilket även om det kan vara användbart för felsökning kan öka antalet loggar avsevärt och ha prestandaomkostnader. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Se till att databasflaggan "log_min_error_statement" för Cloud SQL PostgreSQL-instansen är inställd på Fel eller striktare
Beskrivning: Flaggan "log_min_error_statement" definierar den minsta allvarlighetsgrad för meddelanden som betraktas som en feluttryck. Meddelanden för felmeddelanden loggas med SQL-instruktionen. Giltiga värden är "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" och "PANIC". Varje allvarlighetsgrad innehåller de efterföljande nivåerna som nämns ovan. Se till att värdet FEL eller striktare anges. Granskning hjälper till att felsöka driftsproblem och tillåter även kriminalteknisk analys. Om "log_min_error_statement" inte är inställt på rätt värde kan det hända att meddelanden inte klassificeras som felmeddelanden på rätt sätt. Med tanke på allmänna loggmeddelanden som felmeddelanden skulle göra är det svårt att hitta faktiska fel och endast överväga strängare allvarlighetsnivåer eftersom felmeddelanden kan hoppa över faktiska fel för att logga sina SQL-instruktioner. Flaggan "log_min_error_statement" ska vara inställd på "ERROR" eller striktare. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Se till att databasflaggan "log_parser_stats" för Cloud SQL PostgreSQL-instansen är inställd på "off"
Beskrivning: PostgreSQL-planeraren/optimeraren ansvarar för att parsa och verifiera syntaxen för varje fråga som tas emot av servern. Om syntaxen är korrekt skapas ett "parsningsträd" annars genereras ett fel. Flaggan "log_parser_stats" styr införandet av parserprestandastatistik i PostgreSQL-loggarna för varje fråga. Flaggan "log_parser_stats" möjliggör en rå profileringsmetod för loggning av parserprestandastatistik, vilket även om det kan vara användbart för felsökning kan öka antalet loggar avsevärt och ha prestandaomkostnader. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Se till att databasflaggan "log_planner_stats" för Cloud SQL PostgreSQL-instansen är inställd på "off"
Beskrivning: Samma SQL-fråga kan köras på flera sätt och ändå ge olika resultat. PostgreSQL-planeraren/optimeraren ansvarar för att skapa en optimal körningsplan för varje fråga. Flaggan "log_planner_stats" styr inkluderingen av Prestandastatistik för PostgreSQL-planeraren i PostgreSQL-loggarna för varje fråga. Flaggan "log_planner_stats" möjliggör en rå profileringsmetod för loggning av Prestandastatistik för PostgreSQL-planerare, vilket även om det kan vara användbart för felsökning kan öka antalet loggar avsevärt och ha prestandakostnader. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Se till att databasflaggan "log_statement_stats" för Cloud SQL PostgreSQL-instansen är inställd på "off"
Beskrivning: Flaggan "log_statement_stats" styr inkluderingen av prestandastatistik från slutpunkt till slutpunkt för en SQL-fråga i PostgreSQL-loggarna för varje fråga. Detta kan inte aktiveras med annan modulstatistik (log_parser_stats, log_planner_stats, log_executor_stats). Flaggan "log_statement_stats" möjliggör en rå profileringsmetod för loggning av prestandastatistik från slutpunkt till slutpunkt för en SQL-fråga. Detta kan vara användbart för felsökning men kan öka antalet loggar avsevärt och ha prestandakostnader. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Kontrollera att Beräkningsinstanser inte har offentliga IP-adresser
Beskrivning: Beräkningsinstanser bör inte konfigureras för att ha externa IP-adresser.
För att minska attackytan bör beräkningsinstanser inte ha offentliga IP-adresser. I stället bör instanser konfigureras bakom lastbalanserare för att minimera instansens exponering för Internet.
Instanser som skapats av GKE bör undantas eftersom vissa av dem har externa IP-adresser och inte kan ändras genom att redigera instansinställningarna.
Dessa virtuella datorer har namn som börjar med gke- och är märkta goog-gke-node.
Allvarlighetsgrad: Hög
Kontrollera att instanser inte har konfigurerats för att använda standardtjänstkontot
Beskrivning: Vi rekommenderar att du konfigurerar instansen så att den inte använder standardkontot för Compute Engine-tjänsten eftersom den har rollen Redigerare i projektet.
Standardkontot för Compute Engine-tjänsten har rollen Redigerare i projektet, vilket ger läs- och skrivåtkomst till de flesta Google Cloud Services.
För att skydda mot privilegiereskaleringar om den virtuella datorn komprometteras och för att förhindra att en angripare får åtkomst till alla dina projekt rekommenderar vi att du inte använder standardkontot för Compute Engine-tjänsten.
I stället bör du skapa ett nytt tjänstkonto och endast tilldela de behörigheter som behövs av din instans.
Standardkontot för Compute Engine-tjänsten heter [PROJECT_NUMBER]- compute@developer.gserviceaccount.com.
Virtuella datorer som skapats av GKE bör undantas. Dessa virtuella datorer har namn som börjar med gke- och är märkta goog-gke-node.
Allvarlighetsgrad: Hög
Kontrollera att instanser inte har konfigurerats för att använda standardtjänstkontot med fullständig åtkomst till alla moln-API:er
Beskrivning: För att stödja principen om minsta behörighet och förhindra potentiell behörighetseskalering rekommenderar vi att instanser inte tilldelas standardtjänstkontot "Beräkningsmotorns standardtjänstkonto" med omfånget "Tillåt fullständig åtkomst till alla moln-API:er". Tillsammans med möjligheten att skapa, hantera och använda användarhanterade anpassade tjänstkonton, tillhandahåller Google Compute Engine standardtjänstkontot "Compute Engine default service account" för en instans för åtkomst till nödvändiga molntjänster.
Rollen "Projektredigerare" tilldelas till "Standardtjänstkonto för Beräkningsmotor" och därför har det här tjänstkontot nästan alla funktioner för alla molntjänster förutom fakturering. Men när "Beräkningsmotorns standardtjänstkonto" har tilldelats till en instans kan det fungera i tre omfång.
- Tillåt standardåtkomst: Tillåter endast minsta åtkomst som krävs för att köra en instans (minst privilegier).
- Tillåt fullständig åtkomst till alla moln-API:er: Tillåt fullständig åtkomst till alla moln-API:er/tjänster (för mycket åtkomst).
- Ange åtkomst för varje API: Tillåter instansadministratör att endast välja de API:er som behövs för att utföra specifika affärsfunktioner som förväntas av instansen.
När en instans har konfigurerats med "Beräkningsmotorns standardtjänstkonto" med omfånget "Tillåt fullständig åtkomst till alla moln-API:er", baserat på IAM-roller som tilldelats till de användare som har åtkomst till instansen, kan det göra det möjligt för användaren att utföra molnåtgärder/API-anrop som användaren inte ska utföra, vilket leder till en lyckad eskalering av privilegier.
Virtuella datorer som skapats av GKE bör undantas. Dessa virtuella datorer har namn som börjar med gke- och är märkta goog-gke-node.
Allvarlighetsgrad: Medel
Kontrollera att IP-vidarebefordran inte är aktiverat på instanser
Beskrivning: Beräkningsmotorinstansen kan inte vidarebefordra ett paket om inte paketets käll-IP-adress matchar IP-adressen för instansen. På samma sätt levererar GCP inte ett paket vars mål-IP-adress skiljer sig från IP-adressen för den instans som tar emot paketet. Båda funktionerna krävs dock om du vill använda instanser för att dirigera paket. Vidarebefordran av datapaket bör inaktiveras för att förhindra dataförlust eller avslöjande av information. Compute Engine-instansen kan inte vidarebefordra ett paket om inte paketets käll-IP-adress matchar IP-adressen för instansen. På samma sätt levererar GCP inte ett paket vars mål-IP-adress skiljer sig från IP-adressen för den instans som tar emot paketet. Båda funktionerna krävs dock om du vill använda instanser för att dirigera paket. Om du vill aktivera den här käll- och mål-IP-kontrollen inaktiverar du fältet canIpForward, som gör att en instans kan skicka och ta emot paket med icke-matchande mål- eller käll-IP-adresser.
Allvarlighetsgrad: Medel
Kontrollera att databasflaggan "log_checkpoints" för Cloud SQL PostgreSQL-instansen är inställd på "på"
Beskrivning: Kontrollera att log_checkpoints databasflaggan för Cloud SQL PostgreSQL-instansen är inställd på på. Om du aktiverar log_checkpoints loggas kontrollpunkter och omstartspunkter i serverloggen. Viss statistik ingår i loggmeddelandena, inklusive antalet skrivna buffertar och den tid det tar att skriva dem. Den här parametern kan bara anges i postgresql.conf-filen eller på serverns kommandorad. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Kontrollera att databasflaggan "log_lock_waits" för Cloud SQL PostgreSQL-instansen är inställd på "på"
Beskrivning: Om du aktiverar flaggan "log_lock_waits" för en PostgreSQL-instans skapas en logg för alla sessionsvänte som tar längre tid än den tilldelade "deadlock_timeout"-tiden för att hämta ett lås. Tidsgränsen för dödläget definierar tiden för att vänta på ett lås innan du kontrollerar om det finns några villkor. Frekventa överkörningar vid dödlägestimeout kan vara en indikation på ett underliggande problem. Loggning av sådana väntetider på lås genom att aktivera flaggan log_lock_waits kan användas för att identifiera dåliga prestanda på grund av låsningsfördröjningar eller om en särskilt utformad SQL försöker svälta resurser genom att hålla lås under alltför lång tid. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Kontrollera att databasflaggan "log_min_duration_statement" för Cloud SQL PostgreSQL-instansen är inställd på -1
Beskrivning: Flaggan "log_min_duration_statement" definierar den minsta körningstiden för en instruktion i millisekunder där den totala varaktigheten för instruktionen loggas. Se till att "log_min_duration_statement" har inaktiverats, dvs. värdet -1 har angetts. Loggning av SQL-instruktioner kan innehålla känslig information som inte ska registreras i loggar. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Kontrollera att databasflaggan "log_min_messages" för Cloud SQL PostgreSQL-instansen är korrekt inställd
Beskrivning: Flaggan "log_min_error_statement" definierar den minsta allvarlighetsgrad för meddelanden som betraktas som en feluttryck. Meddelanden för felmeddelanden loggas med SQL-instruktionen. Giltiga värden är "DEBUG5", "DEBUG4", "DEBUG3", "DEBUG2", "DEBUG1", "INFO", "NOTICE", "WARNING", "ERROR", "LOG", "FATAL" och "PANIC". Varje allvarlighetsgrad innehåller de efterföljande nivåerna som nämns ovan. Om du vill inaktivera misslyckade loggningsinstruktioner ställer du in den här parametern på PANIC. ERROR anses vara inställningen för bästa praxis. Ändringar bör endast göras i enlighet med organisationens loggningsprincip. Granskning hjälper till att felsöka driftsproblem och tillåter även kriminalteknisk analys. Om "log_min_error_statement" inte är inställt på rätt värde kan det hända att meddelanden inte klassificeras som felmeddelanden på rätt sätt. Med tanke på allmänna loggmeddelanden som felmeddelanden skulle det göra det svårt att hitta faktiska fel, men med tanke på endast strängare allvarlighetsnivåer eftersom felmeddelanden kan hoppa över faktiska fel för att logga sina SQL-instruktioner. Flaggan "log_min_error_statement" ska anges i enlighet med organisationens loggningsprincip. Den här rekommendationen gäller för PostgreSQL-databasinstanser.
Allvarlighetsgrad: Låg
Kontrollera att databasflaggan "log_temp_files" för Cloud SQL PostgreSQL-instansen är inställd på "0"
Beskrivning: PostgreSQL kan skapa en tillfällig fil för åtgärder som sortering, hashning och tillfälliga frågeresultat när dessa åtgärder överskrider "work_mem". Flaggan "log_temp_files" styr loggningsnamn och filstorleken när den tas bort. Om du konfigurerar "log_temp_files" till 0 loggas all temporär filinformation, medan positiva värden endast loggar filer vars storlek är större än eller lika med det angivna antalet kilobyte. Värdet "-1" inaktiverar temporär filinformationsloggning. Om alla temporära filer inte loggas kan det vara svårare att identifiera potentiella prestandaproblem som kan bero på antingen dålig programkodning eller avsiktliga resurssvältningsförsök.
Allvarlighetsgrad: Låg
Se till att virtuella datordiskar för kritiska virtuella datorer är krypterade med krypteringsnyckel som tillhandahålls av kunden
Beskrivning: CSEK (Customer-Supplied Encryption Keys) är en funktion i Google Cloud Storage och Google Compute Engine. Om du anger egna krypteringsnycklar använder Google din nyckel för att skydda de Google-genererade nycklar som används för att kryptera och dekryptera dina data. Som standard krypterar Google Compute Engine alla vilande data. Compute Engine hanterar och hanterar den här krypteringen åt dig utan några ytterligare åtgärder från din sida. Men om du vill styra och hantera den här krypteringen själv kan du ange egna krypteringsnycklar. Som standard krypterar Google Compute Engine alla vilande data. Compute Engine hanterar och hanterar den här krypteringen åt dig utan några ytterligare åtgärder från din sida. Men om du vill styra och hantera den här krypteringen själv kan du ange egna krypteringsnycklar. Om du anger dina egna krypteringsnycklar använder Compute Engine din nyckel för att skydda de Google-genererade nycklar som används för att kryptera och dekryptera dina data. Endast användare som kan ange rätt nyckel kan använda resurser som skyddas av en krypteringsnyckel som tillhandahålls av kunden. Google lagrar inte dina nycklar på sina servrar och kan inte komma åt dina skyddade data om du inte anger nyckeln. Det innebär också att om du glömmer eller förlorar din nyckel finns det inget sätt för Google att återställa nyckeln eller återställa data som krypterats med den förlorade nyckeln. Minst affärskritiska virtuella datorer ska ha virtuella datordiskar krypterade med CSEK.
Allvarlighetsgrad: Medel
GCP-projekt bör ha automatisk etablering i Azure Arc aktiverad
Beskrivning: För fullständig insyn i säkerhetsinnehållet från Microsoft Defender för servrar bör GCP VM-instanser anslutas till Azure Arc. För att säkerställa att alla berättigade VM-instanser automatiskt tar emot Azure Arc aktiverar du automatisk avetablering från Defender för molnet på GCP-projektnivå. Läs mer om Azure Arc och Microsoft Defender för servrar.
Allvarlighetsgrad: Hög
GCP VM-instanser ska vara anslutna till Azure Arc
Beskrivning: Anslut dina virtuella GCP-datorer till Azure Arc för att få fullständig insyn i säkerhetsinnehållet i Microsoft Defender för servrar. Läs mer om Azure Arc och om Microsoft Defender för servrar i hybridmolnmiljö.
Allvarlighetsgrad: Hög
GCP VM-instanser bör ha os-konfigurationsagenten installerad
Beskrivning: Om du vill ta emot de fullständiga funktionerna i Defender för servrar med automatisk konfiguration av Azure Arc bör GCP-virtuella datorer ha os-konfigurationsagenten aktiverad.
Allvarlighetsgrad: Hög
GKE-klustrets funktion för automatisk reparation ska vara aktiverad
Beskrivning: Den här rekommendationen utvärderar hanteringsegenskapen för en nodpool för nyckel/värde-paret, "key": "autoRepair", "value": true.
Allvarlighetsgrad: Medel
GKE-klustrets funktion för automatisk uppgradering bör vara aktiverad
Beskrivning: Den här rekommendationen utvärderar hanteringsegenskapen för en nodpool för nyckel/värde-paret, "key": "autoUpgrade", "value": true.
Allvarlighetsgrad: Hög
Övervakning av GKE-kluster ska vara aktiverat
Beskrivning: Den här rekommendationen utvärderar om egenskapen monitoringService för ett kluster innehåller den plats som molnövervakning ska använda för att skriva mått.
Allvarlighetsgrad: Medel