Information om Reserve Bank of India IT Framework for Banks v2016 Inbyggt initiativ för regelefterlevnad

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i Reserve Bank of India IT Framework for Banks v2016. Mer information om den här efterlevnadsstandarden finns i Reserve Bank of India IT Framework for Banks v2016. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar är till Reserve Bank of India IT Framework for Banks v2016-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen [Preview]: Reserve Bank of India – IT Framework for Banks Regulatory Compliance.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Autentiseringsramverk för kunder

Autentiseringsramverk för kunder-9.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0

Autentiseringsramverk för kunder-9.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0

Nätverkshantering och säkerhet

Nätverksinventering-4.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
Network Watcher-flödesloggar bör ha trafikanalys aktiverat Trafikanalys analyserar flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. Granskning, inaktiverad 1.0.1

Hantering av nätverksenhetskonfiguration-4.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. Granskning, inaktiverad 2.0.0-preview
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Avvikelseidentifiering-4.7

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Säkerhetsåtgärdscenter-4.9

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Perimeterskydd och identifiering-4.10

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0

Förhindra körning av otillåten programvara

Hantering av säkerhetsuppdateringar-2.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0

Korrigering/sårbarhets- och ändringshantering

Korrigering/sårbarhet och ändringshantering-7.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Korrigering/sårbarhet och ändringshantering-7.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Korrigering/sårbarhet och ändringshantering-7.6

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0

Korrigering/sårbarhet och ändringshantering-7.7

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.2.1
Azure Key Vaults bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, Neka 1.2.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.1
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Mallar för VM Image Builder ska använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, Neka 1.1.0

Riskbaserad transaktionsövervakning

Riskbaserad transaktionsövervakning-20.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Säker konfiguration

Säker konfiguration-5.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Microsoft Defender för Azure Cosmos DB bör vara aktiverat Microsoft Defender för Azure Cosmos DB är ett Azure-inbyggt säkerhetslager som identifierar försök att utnyttja databaser i dina Azure Cosmos DB-konton. Defender för Azure Cosmos DB identifierar potentiella SQL-inmatningar, kända dåliga aktörer baserat på Microsoft Threat Intelligence, misstänkta åtkomstmönster och potentiella utnyttjanden av databasen via komprometterade identiteter eller skadliga insiders. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Säker konfiguration-5.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Hotpatch ska vara aktiverat för virtuella Windows Server Azure Edition-datorer Minimera omstarter och installera uppdateringar snabbt med hotpatch. Läs mer på https://docs.microsoft.com/azure/automanage/automanage-hotpatch Granska, neka, inaktiverad 1.0.0

Skydda e-post- och meddelandesystem

Skydda e-post- och meddelandesystem-10.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Skydda e-post- och meddelandesystem-10.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Användaråtkomstkontroll/hantering

Användaråtkomstkontroll/Hantering-8.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.4

Användaråtkomstkontroll/Hantering-8.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0

Användaråtkomstkontroll/Hantering-8.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

Användaråtkomstkontroll/Hantering-8.4

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1

Användaråtkomstkontroll/Hantering-8.5

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.4
Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering Granska endast användning av klientautentisering via Azure Active Directory i Service Fabric Granska, neka, inaktiverad 1.1.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

Användaråtkomstkontroll/Hantering-8.8

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.4

Övningar för sårbarhetsbedömning och intrångstest och red team

Sårbarhetsbedömning och intrångstest och red team exercises-18.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Sårbarhetsbedömning och intrångstest och red team exercises-18.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Sårbarhetsbedömning och intrångstest och red team exercises-18.4

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
SQL-databaser bör lösa sårbarhetsresultat Övervaka resultat av sårbarhetsbedömningsgenomsökning och rekommendationer för hur du åtgärdar sårbarheter i databasen. AuditIfNotExists, inaktiverad 4.1.0
SQL-servrar på datorer bör ha sårbarhetsresultat lösta SQL-sårbarhetsbedömning söker igenom databasen efter säkerhetsrisker och exponerar eventuella avvikelser från bästa praxis, till exempel felkonfigurationer, överdrivna behörigheter och oskyddade känsliga data. Att lösa de sårbarheter som hittas kan avsevärt förbättra databasens säkerhetsstatus. AuditIfNotExists, inaktiverad 1.0.0
Säkerhetsrisker i säkerhetskonfigurationen på dina datorer bör åtgärdas Servrar som inte uppfyller den konfigurerade baslinjen övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.1.0

Underhåll, övervakning och analys av granskningsloggar

Underhåll, övervakning och analys av granskningsloggar-16.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla flödesloggresurser ska vara i aktiverat tillstånd Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.1
Azure Monitor bör samla in aktivitetsloggar från alla regioner Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. AuditIfNotExists, inaktiverad 2.0.0
Flödesloggar ska konfigureras för varje nätverkssäkerhetsgrupp Granska för nätverkssäkerhetsgrupper för att kontrollera om flödesloggar har konfigurerats. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar via nätverkssäkerhetsgruppen. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.1.0
Loggvaraktighet ska aktiveras för PostgreSQL-databasservrar Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_duration inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Network Watcher-flödesloggar bör ha trafikanalys aktiverat Trafikanalys analyserar flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Den kan användas för att visualisera nätverksaktivitet i dina Azure-prenumerationer och identifiera hotpunkter, identifiera säkerhetshot, förstå trafikflödesmönster, hitta felkonfigurationer i nätverket med mera. Granskning, inaktiverad 1.0.1

Underhåll, övervakning och analys av granskningsloggar-16.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Linux Azure Arc-datorer Den här principen granskar Linux Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
[Förhandsversion]: Log Analytics-tillägget bör installeras på dina Windows Azure Arc-datorer Den här principen granskar Windows Azure Arc-datorer om Log Analytics-tillägget inte är installerat. AuditIfNotExists, inaktiverad 1.0.1-förhandsversion
Azure Monitor-loggprofilen bör samla in loggar för kategorierna "write", "delete" och "action" Den här principen säkerställer att en loggprofil samlar in loggar för kategorierna "write", "delete" och "action" AuditIfNotExists, inaktiverad 1.0.0
Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen Den här principen säkerställer om en loggprofil är aktiverad för export av aktivitetsloggar. Den granskar om ingen loggprofil har skapats för att exportera loggarna till ett lagringskonto eller till en händelsehubb. AuditIfNotExists, inaktiverad 1.0.0

Underhåll, övervakning och analys av granskningsloggar-16.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
Azure Monitor bör samla in aktivitetsloggar från alla regioner Den här principen granskar Azure Monitor-loggprofilen som inte exporterar aktiviteter från alla Azure Support regioner, inklusive globala. AuditIfNotExists, inaktiverad 2.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0

Inställningar för granskningslogg

Inställningar för granskningslogg-17.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Linux-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
[Förhandsversion]: Datainsamlingsagenten för nätverkstrafik bör installeras på virtuella Windows-datorer Security Center använder Microsoft Dependency-agenten för att samla in nätverkstrafikdata från dina virtuella Azure-datorer för att aktivera avancerade nätverksskyddsfunktioner som trafikvisualisering på nätverkskartan, rekommendationer för nätverkshärdning och specifika nätverkshot. AuditIfNotExists, inaktiverad 1.0.2-förhandsversion
App Service-appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.3
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.2.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.1.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0

Skydd mot nätfiske

Skydd mot nätfiske-14.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda privat länk för säkerhetskopiering Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Recovery Services-valv minskas risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/AB-PrivateEndpoints. Granskning, inaktiverad 2.0.0-preview
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
API Management-tjänster bör använda ett virtuellt nätverk Azure Virtual Network-distribution ger förbättrad säkerhet, isolering och gör att du kan placera DIN API Management-tjänst i ett routbart nätverk som inte kan dirigeras via Internet och som du styr åtkomsten till. Dessa nätverk kan sedan anslutas till dina lokala nätverk med hjälp av olika VPN-tekniker, vilket ger åtkomst till dina serverdelstjänster i nätverket och/eller lokalt. Utvecklarportalen och API-gatewayen kan konfigureras för att vara tillgängliga antingen från Internet eller endast i det virtuella nätverket. Granska, neka, inaktiverad 1.0.2
Appkonfiguration bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina appkonfigurationsinstanser i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, inaktiverad 1.0.2
Auktoriserade IP-intervall ska definieras i Kubernetes Services Begränsa åtkomsten till Kubernetes Service Management-API:et genom att endast ge API-åtkomst till IP-adresser i specifika intervall. Vi rekommenderar att du begränsar åtkomsten till auktoriserade IP-intervall för att säkerställa att endast program från tillåtna nätverk kan komma åt klustret. Granskning, inaktiverad 2.0.1
Azure AI Services-resurser bör begränsa nätverksåtkomsten Genom att begränsa nätverksåtkomsten kan du se till att endast tillåtna nätverk kan komma åt tjänsten. Detta kan uppnås genom att konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt Azure AI-tjänsten. Granska, neka, inaktiverad 3.2.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Event Grid-domäner bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till din Event Grid-domän i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure Event Grid-ämnen bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt Event Grid-ämne i stället för hela tjänsten skyddas du även mot dataläckagerisker. Läs mer på: https://aka.ms/privateendpoints. Granskning, inaktiverad 1.0.2
Azure File Sync bör använda privat länk När du skapar en privat slutpunkt för den angivna Storage Sync Service-resursen kan du adressera din Storage Sync Service-resurs inifrån det privata IP-adressutrymmet i organisationens nätverk i stället för via den internettillgängliga offentliga slutpunkten. Att skapa en privat slutpunkt av sig själv inaktiverar inte den offentliga slutpunkten. AuditIfNotExists, inaktiverad 1.0.0
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.2.1
Azure Key Vaults bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-arbetsytor bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till Azure Machine Learning-arbetsytor minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Granskning, inaktiverad 1.0.0
Azure Spring Cloud bör använda nätverksinmatning Azure Spring Cloud-instanser bör använda inmatning av virtuella nätverk i följande syften: 1. Isolera Azure Spring Cloud från Internet. 2. Aktivera Azure Spring Cloud för att interagera med system i antingen lokala datacenter eller Azure-tjänsten i andra virtuella nätverk. 3. Ge kunderna möjlighet att styra inkommande och utgående nätverkskommunikation för Azure Spring Cloud. Granska, inaktiverad, Neka 1.2.0
Containerregister bör inte tillåta obegränsad nätverksåtkomst Azure-containerregister accepterar som standard anslutningar via Internet från värdar i alla nätverk. Om du vill skydda dina register mot potentiella hot kan du endast tillåta åtkomst från specifika privata slutpunkter, offentliga IP-adresser eller adressintervall. Om ditt register inte har konfigurerat några nätverksregler visas det i de resurser som inte är felfria. Läs mer om containerregisternätverksregler här: https://aka.ms/acr/privatelinkoch https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Granska, neka, inaktiverad 2.0.0
Containerregister bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Den privata länkplattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina containerregister i stället för hela tjänsten skyddas du också mot dataläckagerisker. Läs mer på: https://aka.ms/acr/private-link. Granskning, inaktiverad 1.0.1
Privata slutpunktsanslutningar i Azure SQL Database ska vara aktiverade Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure SQL Database. Granskning, inaktiverad 1.1.0
Privat slutpunkt ska vara aktiverad för MariaDB-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MariaDB. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för MySQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for MySQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Privat slutpunkt ska vara aktiverad för PostgreSQL-servrar Privata slutpunktsanslutningar framtvingar säker kommunikation genom att aktivera privat anslutning till Azure Database for PostgreSQL. Konfigurera en privat slutpunktsanslutning för att aktivera åtkomst till trafik som endast kommer från kända nätverk och förhindra åtkomst från alla andra IP-adresser, inklusive i Azure. AuditIfNotExists, inaktiverad 1.0.2
Åtkomst till offentligt nätverk i Azure SQL Database bör inaktiveras Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att din Azure SQL Database endast kan nås från en privat slutpunkt. Den här konfigurationen nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 1.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.1
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till ditt lagringskonto minskas risken för dataläckage. Läs mer om privata länkar på - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, inaktiverad 2.0.0
Mallar för VM Image Builder ska använda privat länk Med Azure Private Link kan du ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till dina vm Image Builder-byggresurser minskas risken för dataläckage. Läs mer om privata länkar på: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Granska, inaktiverad, Neka 1.1.0

Avancerat realtidsremiss till försvar och ledning

Avancerat i realtid mot försvar och ledning-13.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. AuditIfNotExists, inaktiverad 6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. AuditIfNotExists, inaktiverad 5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. AuditIfNotExists, inaktiverad 4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. AuditIfNotExists, inaktiverad 3.1.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. Granskning, inaktiverad 4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. Granskning, inaktiverad 2.0.0-preview
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.3
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.2.0
Lagringskonton ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina lagringskonton för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0
Virtuella datorer ska migreras till nya Azure Resource Manager-resurser Använd nya Azure Resource Manager för dina virtuella datorer för att tillhandahålla säkerhetsförbättringar som: starkare åtkomstkontroll (RBAC), bättre granskning, Azure Resource Manager-baserad distribution och styrning, åtkomst till hanterade identiteter, åtkomst till nyckelvalv för hemligheter, Azure AD-baserad autentisering och stöd för taggar och resursgrupper för enklare säkerhetshantering Granska, neka, inaktiverad 1.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0

Avancerat i realtid mot försvar och ledning-13,2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 6.0.0-preview
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Granskning, inaktiverad 2.0.1
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Avancerat i realtid mot försvar och ledning-13,3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Azure Backup ska vara aktiverat för virtuella datorer Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0

Avancerat i realtid mot försvar och ledning-13,4

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras Granska, neka, inaktiverad 1.1.0
Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. Granska, neka, inaktiverad 2.2.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. Granska, neka, inaktiverad 1.1.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Containerregister ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. Granska, neka, inaktiverad 1.1.2
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven AuditIfNotExists, inaktiverad 2.0.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Livscykel för programsäkerhet (Aslc)

Livscykel för programsäkerhet (Aslc)-6.4

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Application Insights-komponenter bör blockera logginmatning och frågor från offentliga nätverk Förbättra Application Insights-säkerheten genom att blockera logginmatning och frågor från offentliga nätverk. Endast privata länkanslutna nätverk kan mata in och fråga loggar för den här komponenten. Läs mer på https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Application Insights-komponenter bör blockera icke-Azure Active Directory-baserad inmatning. Om du framtvingar logginmatning för att kräva Azure Active Directory-autentisering förhindras oautentiserade loggar från en angripare, vilket kan leda till felaktig status, falska aviseringar och felaktiga loggar som lagras i systemet. Neka, Granska, Inaktiverad 1.0.0
Application Insights-komponenter med Private Link aktiverat bör använda Bring Your Own Storage-konton för profilerare och felsökningsprogram. Om du vill ha stöd för principer för privat länk och kundhanterad nyckel skapar du ett eget lagringskonto för profilerare och felsökningsprogram. Läs mer i https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Neka, Granska, Inaktiverad 1.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Monitor-loggar för Application Insights bör länkas till en Log Analytics-arbetsyta Länka Application Insights-komponenten till en Log Analytics-arbetsyta för loggkryptering. Kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnad och för mer kontroll över åtkomsten till dina data i Azure Monitor. Om du länkar din komponent till en Log Analytics-arbetsyta som är aktiverad med en kundhanterad nyckel ser du till att Application Insights-loggarna uppfyller detta efterlevnadskrav, se https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.1.0

Livscykel för programsäkerhet (Aslc)-6.7

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0
Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway Kräver att läget "Identifiering" eller "Förebyggande" används för att vara aktiv på alla brandväggsprinciper för webbaserade program för Application Gateway. Granska, neka, inaktiverad 1.0.0

Strategi för dataläckageskydd

Strategi för dataläckageskydd-15.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla flödesloggresurser ska vara i aktiverat tillstånd Granska för flödesloggresurser för att kontrollera om flödesloggstatus är aktiverat. Genom att aktivera flödesloggar kan du logga information om IP-trafik som flödar. Den kan användas för att optimera nätverksflöden, övervaka dataflöde, verifiera efterlevnad, identifiera intrång med mera. Granskning, inaktiverad 1.0.1
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Strategi för dataläckageskydd-15.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Åtkomst till offentligt nätverk ska inaktiveras för MariaDB-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MariaDB endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för flexibla MySQL-servrar Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for MySQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.1.0
Åtkomst till offentligt nätverk ska inaktiveras för MySQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att din Azure Database for MySQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.0
Åtkomst till offentligt nätverk ska inaktiveras för flexibla PostgreSQL-servrar Om du inaktiverar den offentliga nätverksåtkomstegenskapen förbättras säkerheten genom att säkerställa att dina flexibla Azure Database for PostgreSQL-servrar endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar strikt åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP-baserade brandväggsregler. Granska, neka, inaktiverad 3.1.0
Åtkomst till offentligt nätverk ska inaktiveras för PostgreSQL-servrar Inaktivera den offentliga nätverksåtkomstegenskapen för att förbättra säkerheten och se till att Azure Database for PostgreSQL endast kan nås från en privat slutpunkt. Den här konfigurationen inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azures IP-intervall och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Granska, neka, inaktiverad 2.0.1
Lagringskonton bör inaktivera åtkomst till offentligt nätverk För att förbättra säkerheten för lagringskonton kontrollerar du att de inte exponeras för det offentliga Internet och endast kan nås från en privat slutpunkt. Inaktivera den offentliga nätverksåtkomstegenskapen enligt beskrivningen i https://aka.ms/storageaccountpublicnetworkaccess. Det här alternativet inaktiverar åtkomst från alla offentliga adressutrymmen utanför Azure IP-intervallet och nekar alla inloggningar som matchar IP- eller virtuella nätverksbaserade brandväggsregler. Detta minskar risken för dataläckage. Granska, neka, inaktiverad 1.0.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1

Strategi för dataläckageskydd-15.3

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Kriminalteknik

Forensics-22.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure DDoS Protection ska vara aktiverat DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.1

Incidenthantering och hantering

Svara på cyberincidenter:-19.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Återställning från Cyber – Incidenter-19.4

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska virtuella datorer utan att haveriberedskap har konfigurerats Granska virtuella datorer som inte har konfigurerat haveriberedskap. Mer information om haveriberedskap finns i https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3

Återställning från Cyber – Incidenter-19.5

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1

Återställning från Cyber – Incidenter-19.6

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Återställning från Cyber – Incidenter-19.6b

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure DDoS Protection ska vara aktiverat DDoS-skydd ska vara aktiverat för alla virtuella nätverk med ett undernät som ingår i en programgateway med en offentlig IP-adress. AuditIfNotExists, inaktiverad 3.0.1
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0

Återställning från Cyber – Incidenter-19.6c

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Återställning från Cyber – Incidenter-19.6e

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3

Mått

Metrics-21.1

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. Granska, neka, inaktiverad 2.2.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Key Vault bör ha brandvägg aktiverat Aktivera key vault-brandväggen så att nyckelvalvet inte är tillgängligt som standard för offentliga IP-adresser. Du kan också konfigurera specifika IP-intervall för att begränsa åtkomsten till dessa nätverk. Läs mer på: https://docs.microsoft.com/azure/key-vault/general/network-security Granska, neka, inaktiverad 3.2.1
Azure Key Vaults bör använda privat länk Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till nyckelvalvet kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. Granska, neka, inaktiverad 1.1.0
Certifikaten ska ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.2.1
Containerregister ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. Granska, neka, inaktiverad 1.1.2
Nyckelvalv bör ha borttagningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. Granska, neka, inaktiverad 2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3

Mått-21.2

ID:

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Hotpatch ska vara aktiverat för virtuella Windows Server Azure Edition-datorer Minimera omstarter och installera uppdateringar snabbt med hotpatch. Läs mer på https://docs.microsoft.com/azure/automanage/automanage-hotpatch Granska, neka, inaktiverad 1.0.0

Nästa steg

Ytterligare artiklar om Azure Policy: