Bulut için Microsoft Defender için yerleşik tanımları Azure İlkesi
Bu sayfa, Bulut için Microsoft Defender ile ilgili Azure İlkesi yerleşik ilke tanımlarının dizinidir. aşağıdaki ilke tanımları gruplandırmalarını kullanabilirsiniz:
- Girişimler grubu, "Bulut için Defender" kategorisindeki Azure İlkesi girişim tanımlarını listeler.
- Varsayılan girişim grubu, Bulut için Defender varsayılan girişimi olan Microsoft bulut güvenliği karşılaştırmasının parçası olan tüm Azure İlkesi tanımlarını listeler. Microsoft tarafından yazılan ve yaygın olarak saygıdeğer olan bu karşılaştırma, İnternet Güvenliği Merkezi (CIS) ve Ulusal Standartlar ve Teknoloji Enstitüsü'nden (NIST) gelen ve bulut merkezli güvenliğe odaklanan denetimler üzerine kurulur.
- Kategori grubu, "Bulut için Defender" kategorisindeki tüm Azure İlkesi tanımlarını listeler.
Güvenlik ilkeleri hakkında daha fazla bilgi için bkz . Güvenlik ilkeleriyle çalışma. Diğer hizmetlere yönelik diğer Azure İlkesi yerleşikler için bkz. Azure İlkesi yerleşik tanımlar.
Her bir yerleşik ilke tanımının adı, Azure portalındaki ilke tanımına bağlanmaktadır. Azure İlkesi GitHub deposundaki kaynağı görüntülemek için Sürüm sütunundaki bağlantıyı kullanın.
Bulut için Microsoft Defender girişimleri
Bulut için Defender tarafından izlenen yerleşik girişimler hakkında bilgi edinmek için aşağıdaki tabloya bakın:
Veri Akışı Adı | Açıklama | İlkeler | Sürüm |
---|---|---|---|
[Önizleme]: Uç Nokta için Microsoft Defender aracıyı dağıtma | geçerli görüntülere Uç Nokta için Microsoft Defender aracı dağıtın. | 4 | 1.0.0-önizleme |
Gelişmiş Tehdit Koruması'nın açık kaynak ilişkisel veritabanlarında etkinleştirilecek şekilde yapılandırılması | Veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Temel olmayan katman açık kaynak ilişkisel veritabanlarınızda Gelişmiş Tehdit Koruması'nı etkinleştirin. Bkz. https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Azure Defender'ı SQL Server'larda ve SQL Yönetilen Örneği'lerde etkinleştirilecek şekilde yapılandırma | SQL Sunucularınızda ve SQL Yönetilen Örneği'lerinizde Azure Defender'ı etkinleştirerek veritabanlarına erişmeye veya veritabanlarına erişmeye yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılayın. | 3 | 3.0.0 |
Bulut için Microsoft Defender planlarını yapılandırma | Bulut için Microsoft Defender, çok bulutlu ortamlarda geliştirmeden çalışma zamanına kadar kapsamlı, bulutta yerel korumalar sağlar. seçili kapsamlarda etkinleştirilecek Bulut için Defender planları ve uzantıları yapılandırmak için ilke girişimini kullanın. | 11 | 1.0.0 |
Veritabanları için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Azure SQL Veritabanı, Yönetilen Örnekler, Açık kaynak ilişkisel veritabanları ve Cosmos DB'nizi korumak için Veritabanları için Microsoft Defender'ı yapılandırın. | 4 | 1.0.0 |
Bulut için Microsoft Defender ile birden çok Uç Nokta için Microsoft Defender tümleştirme ayarı yapılandırma | Bulut için Microsoft Defender (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION vb.) ile birden çok Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırın. Daha fazla bilgi için bkz. https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
SQL ve AMA için Microsoft Defender'ı la çalışma alanıyla yüklemek için SQL VM'lerini ve Arc özellikli SQL Sunucularını yapılandırma | SQL için Microsoft Defender aracılardan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı ve Log Analytics çalışma alanı oluşturur. | 9 | 1.3.0 |
SQL ve AMA için Microsoft Defender'ı kullanıcı tanımlı bir LA çalışma alanına yüklemek için SQL VM'lerini ve Arc özellikli SQL Sunucularını yapılandırma | SQL için Microsoft Defender aracılardan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Kullanıcı tanımlı Log Analytics çalışma alanıyla aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı oluşturur. | 8 | 1.2.0 |
Microsoft bulut güvenliği karşılaştırması | Microsoft bulut güvenliği karşılaştırma girişimi, Microsoft bulut güvenliği karşılaştırmasında tanımlanan güvenlik önerilerini uygulayan ilkeleri ve denetimleri temsil eder, bkz https://aka.ms/azsecbm. . Bu aynı zamanda Bulut için Microsoft Defender varsayılan ilke girişimi olarak da görev alır. Bu girişimi doğrudan atayabilir veya ilkeleriyle uyumluluk sonuçlarını Bulut için Microsoft Defender içinde yönetebilirsiniz. | 228 | 57.45.0 |
Bulut için Defender varsayılan girişimi (Microsoft bulut güvenliği karşılaştırması)
Bulut için Defender tarafından izlenen yerleşik ilkeler hakkında bilgi edinmek için aşağıdaki tabloya bakın:
İlke adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
[Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
[Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
[Önizleme]: Azure PostgreSQL esnek sunucusunda Yalnızca Microsoft Entra Kimlik Doğrulaması etkinleştirilmelidir | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak ve yalnızca Microsoft Entra Authentication'a izin vermek, Azure PostgreSQL esnek sunucusuna yalnızca Microsoft Entra kimlikleri tarafından erişilmesini sağlayarak güvenliği artırır. | Denetim, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Azure Stack HCI sunucularının sürekli olarak zorunlu uygulama denetimi ilkeleri olmalıdır | Microsoft WDAC temel ilkesini en azından tüm Azure Stack HCI sunucularında zorunlu modda uygulayın. Uygulanan Windows Defender Uygulama Denetimi (WDAC) ilkeleri aynı kümedeki sunucular arasında tutarlı olmalıdır. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
[Önizleme]: Azure Stack HCI sunucuları Güvenli çekirdek gereksinimlerini karşılamalıdır | Tüm Azure Stack HCI sunucularının Güvenli çekirdek gereksinimlerini karşıladığından emin olun. Güvenli çekirdek sunucu gereksinimlerini etkinleştirmek için: 1. Azure Stack HCI kümeleri sayfasında Windows Yönetim Merkezi'ne gidin ve Bağlan'ı seçin. 2. Güvenlik uzantısına gidin ve Güvenli çekirdek'i seçin. 3. Etkin olmayan herhangi bir ayarı seçin ve Etkinleştir'e tıklayın. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
[Önizleme]: Azure Stack HCI sistemlerinde şifrelenmiş birimler olmalıdır | Azure Stack HCI sistemlerinde işletim sistemini ve veri birimlerini şifrelemek için BitLocker kullanın. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine olanak sağlamak için desteklenen Linux sanal makinelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makineleri ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 5.1.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makinelere Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 4.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 3.1.0-önizleme |
[Önizleme]: Azure Stack HCI sistemlerinde konak ve VM ağı korunmalıdır | Azure Stack HCI konak ağındaki ve sanal makine ağ bağlantılarında verileri koruyun. | Audit, Disabled, AuditIfNotExists | 1.0.0-önizleme |
[Önizleme]: Linux sanal makineleri yalnızca imzalı ve güvenilen önyükleme bileşenlerini kullanmalıdır | Tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcılar tarafından imzalanmalıdır. Bulut için Defender, bir veya daha fazla Linux makinenizde güvenilmeyen işletim sistemi önyükleme bileşenleri tanımladı. Makinelerinizi kötü amaçlı olabilecek bileşenlerden korumak için bunları izin verme listenize ekleyin veya tanımlanan bileşenleri kaldırın. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
[Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
[Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
[Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
[Önizleme]: Desteklenen Windows sanal makinelerinde Güvenli Önyükleme etkinleştirilmelidir | Önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmak için desteklenen Windows sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | Denetim, Devre Dışı | 4.0.0-önizleme |
[Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
[Önizleme]: vTPM desteklenen sanal makinelerde etkinleştirilmelidir | Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için desteklenen sanal makinelerde sanal TPM cihazını etkinleştirin. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir. | Denetim, Devre Dışı | 2.0.0-önizleme |
Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
MySQL sunucuları için bir Microsoft Entra yöneticisi sağlanmalıdır | Microsoft Entra kimlik doğrulamasını etkinleştirmek için MySQL sunucunuz için Bir Microsoft Entra yöneticisinin sağlanmasını denetleyin. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.1.1 |
PostgreSQL sunucuları için bir Microsoft Entra yöneticisi sağlanmalıdır | Microsoft Entra kimlik doğrulamasını etkinleştirmek için PostgreSQL sunucunuz için Bir Microsoft Entra yöneticisinin sağlanmasını denetleyin. Microsoft Entra kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.1 |
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure API Management'ta API uç noktalarının kimliği doğrulanmalıdır | Azure API Management'ta yayımlanan API uç noktaları, güvenlik riskini en aza indirmeye yardımcı olmak için kimlik doğrulamasını zorunlu kılmalıdır. Kimlik doğrulama mekanizmaları bazen yanlış uygulanır veya eksiktir. Bu, saldırganların uygulama açıklarından yararlanmasına ve verilere erişmesine olanak tanır. Bozuk Kullanıcı Kimlik Doğrulaması için OWASP API Tehdidi hakkında daha fazla bilgiyi burada bulabilirsiniz: https://video2.skills-academy.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kullanılmayan API uç noktaları devre dışı bırakılmalı ve Azure API Management hizmetinden kaldırılmalıdır | En iyi güvenlik uygulaması olarak, 30 gündür trafik almamış API uç noktaları kullanılmamış olarak kabul edilir ve Azure API Management hizmetinden kaldırılmalıdır. Kullanılmayan API uç noktalarının tutulması kuruluşunuz için güvenlik riski doğurabilir. Bunlar, Azure API Management hizmetinden kullanım dışı bırakılması gereken ancak yanlışlıkla etkin bırakılmış api'ler olabilir. Bu tür API'ler genellikle en güncel güvenlik kapsamını almaz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
API Management API'leri yalnızca şifrelenmiş protokoller kullanmalıdır | Aktarımdaki verilerin güvenliğini sağlamak için API'ler yalnızca HTTPS veya WSS gibi şifrelenmiş protokoller aracılığıyla kullanılabilir olmalıdır. HTTP veya WS gibi güvenli olmayan protokoller kullanmaktan kaçının. | Denetim, Devre Dışı, Reddet | 2.0.2 |
API Arka Uçlarına API Management çağrılarının kimliği doğrulanmalıdır | API Management'tan arka uçlara yapılan çağrılar, sertifikalar veya kimlik bilgileri aracılığıyla bir tür kimlik doğrulaması kullanmalıdır. Service Fabric arka uçlarına uygulanmaz. | Denetim, Devre Dışı, Reddet | 1.0.1 |
API arka uçlarına yapılan API Management çağrıları sertifika parmak izini veya ad doğrulamasını atlamamalıdır | API güvenliğini geliştirmek için API Management'ın tüm API çağrıları için arka uç sunucu sertifikasını doğrulaması gerekir. SSL sertifikası parmak izini ve ad doğrulamasını etkinleştirin. | Denetim, Devre Dışı, Reddet | 1.0.2 |
API Management doğrudan yönetim uç noktası etkinleştirilmemelidir | Azure API Management'taki doğrudan yönetim REST API'si, Azure Resource Manager rol tabanlı erişim denetimi, yetkilendirme ve azaltma mekanizmalarını atlayarak hizmetinizin güvenlik açığını artırır. | Denetim, Devre Dışı, Reddet | 1.0.2 |
API Management en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır | Hizmet gizli dizilerinin salt okunur kullanıcılarla paylaşılmasını önlemek için en düşük API sürümü 2019-12-01 veya üzeri olarak ayarlanmalıdır. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
API Management adlı gizli dizi değerleri Azure Key Vault'ta depolanmalıdır | Adlandırılmış değerler, her API Management hizmetindeki ad ve değer çiftlerinden oluşan bir koleksiyonlardır. Gizli dizi değerleri API Management'ta şifrelenmiş metin olarak (özel gizli diziler) veya Azure Key Vault'taki gizli dizilere başvurarak depolanabilir. API Management ve gizli dizilerin güvenliğini geliştirmek için Azure Key Vault'tan adlandırılmış değerlere başvurun. Azure Key Vault ayrıntılı erişim yönetimi ve gizli dizi döndürme ilkelerini destekler. | Denetim, Devre Dışı, Reddet | 1.0.2 |
API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
API Management, hizmet yapılandırma uç noktalarına genel ağ erişimini devre dışı bırakmalıdır | API Management hizmetlerinin güvenliğini artırmak için doğrudan erişim yönetimi API'si, Git yapılandırma yönetimi uç noktası veya şirket içinde barındırılan ağ geçitleri yapılandırma uç noktası gibi hizmet yapılandırma uç noktalarına bağlantıyı kısıtlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
API Management aboneliklerinin kapsamı tüm API'ler olarak kapsamlendirilmemelidir | API Management aboneliklerinin kapsamı tüm API'ler yerine bir ürün veya tek bir API olarak belirlenmiş olmalıdır ve bu da aşırı veri kullanımına neden olabilir. | Denetim, Devre Dışı, Reddet | 1.1.0 |
Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.1.0 |
Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir | SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Devre Dışı | 3.2.0 |
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Azure AI Services kaynakları bekleyen verileri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelemelidir | Bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarların kullanılması, döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü üzerinde daha fazla denetim sağlar. Bu özellikle ilgili uyumluluk gereksinimlerine sahip kuruluşlar için geçerlidir. Bu, varsayılan olarak değerlendirilmez ve yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimlerinin gerektirdiği durumlarda uygulanmalıdır. Etkinleştirilmemişse, veriler platform tarafından yönetilen anahtarlar kullanılarak şifrelenir. Bunu uygulamak için, geçerli kapsam için Güvenlik İlkesi'ndeki 'Efekt' parametresini güncelleştirin. | Denetim, Reddetme, Devre Dışı | 2.2.0 |
Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
Azure AI Services kaynakları Azure Özel Bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işleyerek veri sızıntısı risklerini azaltır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/AzurePrivateLink/Overview | Denetim, Devre Dışı | 1.0.0 |
Azure API Management platform sürümü stv2 olmalıdır | Azure API Management stv1 işlem platformu sürümü 31 Ağustos 2024 tarihinden itibaren kullanımdan kaldırılacaktır ve bu örneklerin sürekli destek için stv2 işlem platformuna geçirilmesi gerekir. Daha fazla bilgi için: https://video2.skills-academy.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır | Azure Arc için Azure İlkesi uzantısı, Arc özellikli Kubernetes kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar sağlar. https://aka.ms/akspolicydoc adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.1.0 |
Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
Azure Cosmos DB genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, CosmosDB hesabınızın genel İnternet'te kullanıma sunulmadığından emin olarak güvenliği artırır. Özel uç noktalar oluşturmak CosmosDB hesabınızın açığa çıkarma durumunu sınırlayabilir. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure Databricks Kümeleri genel IP'yi devre dışı bırakmalıdır | Azure Databricks Çalışma Alanları'nda kümelerin genel IP'sinin devre dışı bırakılması, kümelerin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Daha fazla bilgi için: https://video2.skills-academy.com/azure/databricks/security/secure-cluster-connectivity. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Azure Databricks Çalışma Alanları bir sanal ağda olmalıdır | Azure Sanal Ağ, erişimi daha fazla kısıtlamak için Azure Databricks Çalışma Alanlarınıza ek olarak alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Daha fazla bilgi için: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
Azure Databricks Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, kaynağın genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak kaynaklarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için: https://video2.skills-academy.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Azure Databricks Çalışma Alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Databricks çalışma alanlarına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/adbpe | Denetim, Devre Dışı | 1.0.2 |
Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Açık kaynak ilişkisel veritabanları için Azure Defender etkinleştirilmelidir | Açık kaynak ilişkisel veritabanları için Azure Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Azure Defender'ın özellikleri hakkında daha fazla bilgi için adresine bakın https://aka.ms/AzDforOpenSourceDBsDocu. Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında fiyatlandırma hakkında bilgi edinin: https://aka.ms/pricing-security-center | AuditIfNotExists, Devre Dışı | 1.0.0 |
Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
Korumasız MySQL esnek sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan MySQL esnek sunucularını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
Korumasız PostgreSQL esnek sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan PostgreSQL esnek sunucularını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender ortam sağlamlaştırma, iş yükü koruması ve çalışma zamanı koruması gibi bulutta yerel Kubernetes güvenlik özellikleri sağlar. Azure Kubernetes Service kümenizde SecurityProfile.AzureDefender'ı etkinleştirdiğinizde, güvenlik olayı verilerini toplamak için kümenize bir aracı dağıtılır. kapsayıcılar için Microsoft Defender hakkında daha fazla bilgi edinin https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Denetim, Devre Dışı | 2.0.1 |
En son yazılım güncelleştirmelerini almak için Azure Machine Learning işlem örnekleri yeniden oluşturulmalıdır | Azure Machine Learning işlem örneklerinin kullanılabilir en son işletim sisteminde çalıştığından emin olun. En son güvenlik düzeltme ekleriyle çalıştırılarak güvenlik açıkları iyileştirilir ve güvenlik açıkları azaltılır. Daha fazla bilgi için https://aka.ms/azureml-ci-updates/ adresini ziyaret edin. | [parameters('effects')] | 1.0.3 |
Azure Machine Learning İşlemleri bir sanal ağda olmalıdır | Azure Sanal Ağ, erişimi daha fazla kısıtlamak için Azure Machine Learning İşlem Kümeleri ve Örneklerinizin yanı sıra alt ağlar, erişim denetimi ilkeleri ve diğer özellikler için gelişmiş güvenlik ve yalıtım sağlar. Bir işlem bir sanal ağ ile yapılandırıldığında, genel olarak ele alınamaz ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. | Denetim, Devre Dışı | 1.0.1 |
Azure Machine Learning İşlemlerinde yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Machine Learning İşlemlerinin yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini sağlayarak güvenliği artırır. Daha fazla bilgi için: https://aka.ms/azure-ml-aad-policy. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/azureml-workspaces-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Azure Machine Learning Çalışma Alanları genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişiminin devre dışı bırakılması, Machine Learning Çalışma Alanlarının genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Bunun yerine özel uç noktalar oluşturarak çalışma alanlarınızın açığa çıkarma durumunu denetleyebilirsiniz. Daha fazla bilgi için: https://video2.skills-academy.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
Azure MySQL esnek sunucusunda Yalnızca Microsoft Entra Kimlik Doğrulaması etkinleştirilmelidir | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak ve yalnızca Microsoft Entra Authentication'a izin vermek, Azure MySQL esnek sunucusuna yalnızca Microsoft Entra kimlikleri tarafından erişilmesini sağlayarak güvenliği artırır. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
Azure SQL Veritabanı TLS sürüm 1.2 veya üzerini çalıştırıyor olmalıdır | TLS sürümünü 1.2 veya daha yeni bir sürüme ayarlamak, Azure SQL Veritabanı yalnızca TLS 1.2 veya üzerini kullanan istemcilerden erişilmesini sağlayarak güvenliği artırır. İyi belgelenmiş güvenlik açıkları olduğundan TLS'nin 1.2'den küçük sürümlerinin kullanılması önerilmez. | Denetim, Devre Dışı, Reddet | 2.0.0 |
Azure SQL Veritabanı Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasını kullanmasını zorunlu kılar. Bu ilke, sunucuların yerel kimlik doğrulaması etkin olarak oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure SQL Veritabanı oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Azure SQL mantıksal sunucularının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
Azure SQL Yönetilen Örneği Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Microsoft Entra-only kimlik doğrulamasını kullanmak için Azure SQL Yönetilen Örneği gerektir. Bu ilke, Yerel kimlik doğrulaması etkinken Azure SQL Yönetilen örneklerinin oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure SQL Yönetilen Örneği genel ağ erişimini devre dışı bırakmalıdır | Azure SQL Yönetilen Örneği'lerde genel ağ erişiminin (genel uç nokta) devre dışı bırakılması, yalnızca sanal ağlarının içinden veya Özel Uç Noktalar aracılığıyla erişim sağlanabilmesini sağlayarak güvenliği artırır. Genel ağ erişimi hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/mi-public-endpoint. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Azure SQL Yönetilen Örneği oluşturma sırasında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Microsoft Entra-only kimlik doğrulaması ile Azure SQL Yönetilen Örneği oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/adonlycreate. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.2.1 |
Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
Cosmos DB veritabanı hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Cosmos DB veritabanı hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirdiğini güvence altına alarak güvenliği artırır. Daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
Azure AI hizmetleri kaynaklarındaki tanılama günlükleri etkinleştirilmelidir | Azure AI hizmetleri kaynakları için günlükleri etkinleştirin. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 1.0.0 |
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.1.0 |
Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Key Vault anahtarlarının son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
Key Vault gizli dizilerinin son kullanma tarihi olmalıdır | Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.3.0 |
Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
Kubernetes kümeleri, API kimlik bilgilerini otomatik bağlamayı devre dışı bırakmalıdır | Güvenliği aşılmış olabilecek bir Pod kaynağının Kubernetes kümelerinde API komutlarını çalıştırmasını önlemek için API kimlik bilgilerini otomatik bağlamayı devre dışı bırakın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.2.0 |
Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
Kubernetes kümeleri CAP_SYS_ADMIN güvenlik özellikleri vermemelidir | Kapsayıcılarınızın saldırı yüzeyini azaltmak için CAP_SYS_ADMIN Linux özelliklerini kısıtlayın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.1.0 |
Kubernetes kümeleri varsayılan ad alanını kullanmamalıdır | ConfigMap, Pod, Gizli Dizi, Hizmet ve ServiceAccount kaynak türlerine yetkisiz erişime karşı korumak için Kubernetes kümelerinde varsayılan ad alanının kullanımını önleyin. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 4.2.0 |
Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.2.0 |
Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak varsayılan olarak bekleyenler olarak şifrelenir; kaynak diskleri (geçici diskler), veri önbellekleri ve İşlem ile Depolama kaynakları arasında akan veriler şifrelenmez. Düzeltmek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.2.1 |
Makineler, eksik sistem güncelleştirmelerini düzenli aralıklarla denetleyecek şekilde yapılandırılmalıdır | Eksik sistem güncelleştirmeleri için düzenli değerlendirmelerin her 24 saatte bir otomatik olarak tetiklendiğinden emin olmak için AssessmentMode özelliği 'AutomaticByPlatform' olarak ayarlanmalıdır. Windows için AssessmentMode özelliği hakkında daha fazla bilgi edinin: https://aka.ms/computevm-windowspatchassessmentmodeLinux için : https://aka.ms/computevm-linuxpatchassessmentmode. | Denetim, Reddetme, Devre Dışı | 3.7.0 |
Makinelerin gizli dizi bulguları çözümlenmelidir | Sanal makinelerinizdeki gizli dizi tarama çözümlerinden gizli dizi bulguları içerip içermediklerini algılamak için sanal makineleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Microsoft Defender CSPM etkinleştirilmelidir | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
API'ler için Microsoft Defender etkinleştirilmelidir | API'ler için Microsoft Defender, yaygın API tabanlı saldırıları ve güvenlik yanlış yapılandırmalarını izlemek için yeni bulma, koruma, algılama ve yanıt kapsamı getirir. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Korumasız Synapse çalışma alanları için SQL için Microsoft Defender etkinleştirilmelidir | Synapse çalışma alanlarınızı korumak için SQL için Defender'ı etkinleştirin. SQL için Defender, veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Synapse SQL'inizi izler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
SQL için Microsoft Defender durumu Arc özellikli SQL Sunucuları için korunmalıdır | SQL için Microsoft Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak, hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. Etkinleştirildikten sonra koruma durumu kaynağın etkin olarak izlendiğini gösterir. Defender etkinleştirildiğinde bile etkin koruma sağlamak için aracı, makine, çalışma alanı ve SQL sunucusunda birden çok yapılandırma ayarı doğrulanmalıdır. | Denetim, Devre Dışı | 1.0.1 |
Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Azure Databricks Çalışma Alanları'ndaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlükleri, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmayı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Azure Kubernetes Service'teki kaynak günlükleri etkinleştirilmelidir | Azure Kubernetes Service'in kaynak günlükleri, güvenlik olaylarını araştırırken etkinlik izlerini yeniden oluşturmanıza yardımcı olabilir. Gerektiğinde günlüklerin mevcut olduğundan emin olmak için etkinleştirin | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure Machine Learning Çalışma Alanlarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlükleri, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmayı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
IoT Hub'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 3.1.0 |
Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.4 |
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Makine planındaki SQL sunucuları için SQL server hedefli otomatik sağlama etkinleştirilmelidir | SQL VM'lerinizin ve Arc özellikli SQL Sunucularınızın korunduğundan emin olmak için, SQL hedefli Azure İzleme Aracısı'nın otomatik olarak dağıtılacak şekilde yapılandırıldığından emin olun. Bu bileşen kullanım dışı bırakıldığı için Microsoft Monitoring Agent'ın otomatik sağlamasını daha önce yapılandırdıysanız da bu gereklidir. Daha fazla bilgi edinin: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Devre Dışı | 1.0.0 |
Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Depolama hesapları paylaşılan anahtar erişimini engellemelidir | Depolama hesabınıza yönelik istekleri yetkilendirmek için Azure Active Directory'nin (Azure AD) denetim gereksinimi. Varsayılan olarak, istekler Azure Active Directory kimlik bilgileriyle veya Paylaşılan Anahtar yetkilendirmesi için hesap erişim anahtarı kullanılarak yetkilendirilebilir. Bu iki yetkilendirme türünden Azure AD, Paylaşılan Anahtara göre üstün güvenlik ve kullanım kolaylığı sağlar ve Microsoft tarafından önerilen seçenektir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Synapse Çalışma Alanlarında Microsoft Entra-only kimlik doğrulaması etkinleştirilmelidir | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasını kullanmasını gerektir. Bu ilke, yerel kimlik doğrulaması etkinken çalışma alanlarının oluşturulmasını engellemez. Oluşturma sonrasında kaynaklarda yerel kimlik doğrulamasının etkinleştirilmesi engellenir. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Synapse Çalışma Alanları, çalışma alanı oluşturma sırasında kimlik doğrulaması için yalnızca Microsoft Entra kimliklerini kullanmalıdır | Synapse Çalışma Alanlarının Microsoft Entra-only kimlik doğrulamasıyla oluşturulmasını zorunlu kılar. Bu ilke, yerel kimlik doğrulamasının oluşturma sonrasında kaynaklarda yeniden etkinleştirilmesini engellemez. Her ikisini de zorunlu kılabilmesi için 'Yalnızca Microsoft Entra-only kimlik doğrulaması' girişimini kullanmayı göz önünde bulundurun. Daha fazla bilgi için: https://aka.ms/Synapse. | Denetim, Reddetme, Devre Dışı | 1.2.0 |
Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) | Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
VPN ağ geçitleri noktadan siteye kullanıcılar için yalnızca Azure Active Directory (Azure AD) kimlik doğrulamasını kullanmalıdır | Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, VPN Gateway'lerin kimlik doğrulaması için yalnızca Azure Active Directory kimliklerini kullanmasını sağlayarak güvenliği artırır. Azure AD kimlik doğrulaması hakkında daha fazla bilgi için bkz. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Windows sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. | Sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak varsayılan olarak bekleyenler olarak şifrelenir; kaynak diskleri (geçici diskler), veri önbellekleri ve İşlem ile Depolama kaynakları arasında akan veriler şifrelenmez. Düzeltmek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 1.1.1 |
Bulut için Microsoft Defender kategorisi
Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
---|---|---|---|
[Önizleme]: Azure Güvenlik aracısı Linux Arc makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Linux Arc makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısı Linux sanal makine ölçek kümelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Linux sanal makine ölçek kümelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısı Linux sanal makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmalarını ve güvenlik açıklarını izlemek için Linux sanal makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısı Windows Arc makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Windows Arc makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısı Windows sanal makine ölçek kümelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmaları ve güvenlik açıklarına karşı izlemek için Windows sanal makine ölçek kümelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.1.0-önizleme |
[Önizleme]: Azure Güvenlik aracısı Windows sanal makinelerinize yüklenmelidir | Makinelerinizi güvenlik yapılandırmalarını ve güvenlik açıklarını izlemek için Windows sanal makinelerinize Azure Güvenlik aracısını yükleyin. Değerlendirmelerin sonuçları Azure Güvenlik Merkezi'da görülebilir ve yönetilebilir. | AuditIfNotExists, Devre Dışı | 2.1.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Linux Arc makinenize yüklenmelidir | Azure Güvenlik Merkezi Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux Arc makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Linux sanal makinenize yüklenmelidir | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Linux sanal makine ölçek kümelerinize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makine ölçek kümelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Windows Arc makinenize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows Arc makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Windows sanal makinenize yüklenmelidir | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makinelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: ChangeTracking uzantısı Windows sanal makine ölçek kümelerinize yüklenmelidir | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makine ölçek kümelerine ChangeTracking Uzantısı'nı yükleyin. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure monitoring Agent tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | AuditIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Sanal makinede SQL aracısı için Azure Defender'ı yapılandırma | Windows makinelerini, Azure İzleyici Aracısı'nın yüklü olduğu SQL için Azure Defender aracısını otomatik olarak yükleyecek şekilde yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu ve Log Analytics çalışma alanı oluşturur. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Linux Arc makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux Arc makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Linux sanal makine ölçek kümeleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makine ölçek kümelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Linux sanal makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'de Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Linux sanal makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Windows Arc makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows Arc makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Windows sanal makine ölçek kümeleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makine ölçek kümelerini ChangeTracking Uzantısı'nı otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Windows sanal makineleri için ChangeTracking Uzantısını Yapılandırma | Azure Güvenlik Merkezi'da Dosya Bütünlüğünü İzleme'yi (FIM) etkinleştirmek için Windows sanal makinelerini ChangeTracking Uzantısını otomatik olarak yükleyecek şekilde yapılandırın. FIM, işletim sistemi dosyalarını, Windows kayıt defterlerini, uygulama yazılımını, Linux sistem dosyalarını ve daha fazlasını bir saldırıyı işaret eden değişiklikler için inceler. Uzantı, Azure İzleyici Aracısı tarafından desteklenen sanal makinelere ve konumlara yüklenebilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux Arc makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux Arc makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Linux Arc makineleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Linux sanal makine ölçek kümelerini yapılandırın | Desteklenen Linux sanal makineleri ölçek kümelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak üzere Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 6.1.0-önizleme |
[Önizleme]: Güvenli Önyüklemeyi otomatik olarak etkinleştirmek için desteklenen Linux sanal makinelerini yapılandırma | Güvenli Önyükleme'nin önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmasını otomatik olarak etkinleştirmek için desteklenen Linux sanal makinelerini yapılandırın. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. | DeployIfNotExists, Devre Dışı | 5.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 7.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Linux sanal makinelerini yapılandırma | Desteklenen Linux sanal makinelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 7.1.0-önizleme |
[Önizleme]: VTPM'yi otomatik olarak etkinleştirmek için desteklenen sanal makineleri yapılandırma | Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için vTPM'yi otomatik olarak etkinleştirmek için desteklenen sanal makineleri yapılandırın. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows Arc makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows Arc makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Windows Arc makineleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows makinelerini yapılandırma | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows makinelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef sanal makineler desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 5.1.0-önizleme |
[Önizleme]: Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın | Azure Güvenlik aracısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın. Güvenlik Merkezi aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Hedef Windows sanal makine ölçek kümeleri desteklenen bir konumda olmalıdır. | DeployIfNotExists, Devre Dışı | 2.1.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Windows sanal makine ölçek kümelerini yapılandırın | Desteklenen Windows sanal makineleri ölçek kümelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 4.1.0-önizleme |
[Önizleme]: Güvenli Önyüklemeyi otomatik olarak etkinleştirmek için desteklenen Windows sanal makinelerini yapılandırma | Güvenli Önyükleme'nin önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmasını otomatik olarak etkinleştirmek için desteklenen Windows sanal makinelerini yapılandırın. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. | DeployIfNotExists, Devre Dışı | 3.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını otomatik olarak yüklemek için desteklenen Windows sanal makinelerini yapılandırma | Desteklenen Windows sanal makinelerini, Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine izin vermek için Konuk Kanıtlama uzantısını otomatik olarak yükleyecek şekilde yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 5.1.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VM'leri yapılandırma | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine olanak sağlamak için konuk kanıtlama uzantısını otomatik olarak yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan sanal makineleri yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 2.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısını yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VMSS'yi yapılandırma | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak üzere Konuk Kanıtlama uzantısını otomatik olarak yüklemek için Paylaşılan Görüntü Galerisi görüntülerle oluşturulan VMSS'yi yapılandırın. Önyükleme bütünlüğü, Uzak Kanıtlama aracılığıyla doğrulanır. | DeployIfNotExists, Devre Dışı | 2.1.0-önizleme |
[Önizleme]: Linux karma makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | Linux karma makinelerinde Uç Nokta için Microsoft Defender aracı dağıtır | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
[Önizleme]: Linux sanal makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | geçerli Linux VM görüntülerine Uç Nokta için Microsoft Defender aracı dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-önizleme |
[Önizleme]: Windows Azure Arc makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | Windows Azure Arc makinelerinde Uç Nokta için Microsoft Defender dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
[Önizleme]: Windows sanal makinelerinde Uç Nokta için Microsoft Defender aracı dağıtma | geçerli Windows VM görüntülerine Uç Nokta için Microsoft Defender dağıtır. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasına ve izlemesine olanak sağlamak için desteklenen Linux sanal makinelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Linux sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen Linux sanal makineleri ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme Güvenilen Başlatma ve Gizli Linux sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 5.1.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makinelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makinelere Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 4.0.0-önizleme |
[Önizleme]: Konuk Kanıtlama uzantısı desteklenen Windows sanal makineleri ölçek kümelerine yüklenmelidir | Azure Güvenlik Merkezi önyükleme bütünlüğünü proaktif olarak kanıtlamasını ve izlemesini sağlamak için desteklenen sanal makine ölçek kümelerine Konuk Kanıtlama uzantısını yükleyin. Yüklendikten sonra, önyükleme bütünlüğü Uzaktan Kanıtlama aracılığıyla doğrulanır. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makine ölçek kümeleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 3.1.0-önizleme |
[Önizleme]: Linux sanal makineleri yalnızca imzalı ve güvenilen önyükleme bileşenlerini kullanmalıdır | Tüm işletim sistemi önyükleme bileşenleri (önyükleme yükleyicisi, çekirdek, çekirdek sürücüleri) güvenilir yayımcılar tarafından imzalanmalıdır. Bulut için Defender, bir veya daha fazla Linux makinenizde güvenilmeyen işletim sistemi önyükleme bileşenleri tanımladı. Makinelerinizi kötü amaçlı olabilecek bileşenlerden korumak için bunları izin verme listenize ekleyin veya tanımlanan bileşenleri kaldırın. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Linux sanal makineleri Güvenli Önyükleme kullanmalıdır | Kötü amaçlı yazılım tabanlı rootkit'lerin ve önyükleme setlerinin yüklenmesine karşı koruma sağlamak için desteklenen Linux sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Güvenli Önyükleme, yalnızca imzalı işletim sistemlerinin ve sürücülerin çalışmasına izin verileceğini güvence altına alır. Bu değerlendirme yalnızca Azure İzleyici Aracısı'nın yüklü olduğu Linux sanal makineleri için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Makinelerin saldırı vektörlerini açığa çıkarabilecek bağlantı noktaları kapalı olmalıdır | Azure'ın Kullanım Koşulları, Azure hizmetlerinin herhangi bir Microsoft sunucusuna veya ağa zarar verebilecek, devre dışı bırakabilecek, aşırı yükleyebilecek veya zarar verebilecek şekillerde kullanılmasını yasaklar. Bu öneri tarafından tanımlanan kullanıma sunulan bağlantı noktalarının, sürekli güvenliğiniz için kapatılması gerekir. Tanımlanan her bağlantı noktası için öneri olası tehdidin bir açıklamasını da sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: Desteklenen Windows sanal makinelerinde Güvenli Önyükleme etkinleştirilmelidir | Önyükleme zincirinde yapılan kötü amaçlı ve yetkisiz değişikliklere karşı azaltmak için desteklenen Windows sanal makinelerinde Güvenli Önyükleme'yi etkinleştirin. Etkinleştirildikten sonra yalnızca güvenilen önyükleme yükleyicilerinin, çekirdek ve çekirdek sürücülerinin çalışmasına izin verilir. Bu değerlendirme, Güvenilen Başlatma ve Gizli Windows sanal makineleri için geçerlidir. | Denetim, Devre Dışı | 4.0.0-önizleme |
[Önizleme]: Sanal makineler konuk kanıtlama durumu iyi durumda olmalıdır | Konuk kanıtlama, bir kanıtlama sunucusuna güvenilir bir günlük (TCGLog) gönderilerek gerçekleştirilir. Sunucu, önyükleme bileşenlerinin güvenilir olup olmadığını belirlemek için bu günlükleri kullanır. Bu değerlendirme, önyükleme zincirinin bir bootkit veya rootkit bulaşmasının sonucu olabilecek risklerini algılamaya yöneliktir. Bu değerlendirme yalnızca Konuk Kanıtlama uzantısının yüklü olduğu Güvenilen Başlatma özellikli sanal makineler için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0-önizleme |
[Önizleme]: vTPM desteklenen sanal makinelerde etkinleştirilmelidir | Ölçülen Önyüklemeyi ve TPM gerektiren diğer işletim sistemi güvenlik özelliklerini kolaylaştırmak için desteklenen sanal makinelerde sanal TPM cihazını etkinleştirin. Etkinleştirildikten sonra, önyükleme bütünlüğünü test etmek için vTPM kullanılabilir. Bu değerlendirme yalnızca güvenilen başlatma özellikli sanal makineler için geçerlidir. | Denetim, Devre Dışı | 2.0.0-önizleme |
Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure API Management'ta API uç noktalarının kimliği doğrulanmalıdır | Azure API Management'ta yayımlanan API uç noktaları, güvenlik riskini en aza indirmeye yardımcı olmak için kimlik doğrulamasını zorunlu kılmalıdır. Kimlik doğrulama mekanizmaları bazen yanlış uygulanır veya eksiktir. Bu, saldırganların uygulama açıklarından yararlanmasına ve verilere erişmesine olanak tanır. Bozuk Kullanıcı Kimlik Doğrulaması için OWASP API Tehdidi hakkında daha fazla bilgiyi burada bulabilirsiniz: https://video2.skills-academy.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kullanılmayan API uç noktaları devre dışı bırakılmalı ve Azure API Management hizmetinden kaldırılmalıdır | En iyi güvenlik uygulaması olarak, 30 gündür trafik almamış API uç noktaları kullanılmamış olarak kabul edilir ve Azure API Management hizmetinden kaldırılmalıdır. Kullanılmayan API uç noktalarının tutulması kuruluşunuz için güvenlik riski doğurabilir. Bunlar, Azure API Management hizmetinden kullanım dışı bırakılması gereken ancak yanlışlıkla etkin bırakılmış api'ler olabilir. Bu tür API'ler genellikle en güncel güvenlik kapsamını almaz. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Açık kaynak ilişkisel veritabanları için Azure Defender etkinleştirilmelidir | Açık kaynak ilişkisel veritabanları için Azure Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Azure Defender'ın özellikleri hakkında daha fazla bilgi için adresine bakın https://aka.ms/AzDforOpenSourceDBsDocu. Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında fiyatlandırma hakkında bilgi edinin: https://aka.ms/pricing-security-center | AuditIfNotExists, Devre Dışı | 1.0.0 |
Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Korumasız MySQL esnek sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan MySQL esnek sunucularını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
Korumasız PostgreSQL esnek sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan PostgreSQL esnek sunucularını denetleme | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kayıt defteri kapsayıcı görüntülerinin güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Güvenlik açıklarını çözmek, güvenlik duruşunuzu büyük ölçüde geliştirerek dağıtım öncesinde görüntülerin güvenli bir şekilde kullanılmasını sağlayabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kapsayıcı görüntülerini çalıştıran Azure'da güvenlik açıkları çözümlenmelidir (Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenir) | Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinizde yaygın olarak bilinen güvenlik açıklarını (CVE) tarar ve her görüntü için ayrıntılı bir güvenlik açığı raporu sağlar. Bu öneri, Kubernetes kümelerinizde çalışmakta olan güvenlik açığı olan görüntülere görünürlük sağlar. Şu anda çalışmakta olan kapsayıcı görüntülerindeki güvenlik açıklarını düzeltmek, güvenlik duruşunuzu geliştirmek ve kapsayıcılı iş yüklerinizin saldırı yüzeyini önemli ölçüde azaltmak için önemlidir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Cloud Services (genişletilmiş destek) rol örnekleri güvenli bir şekilde yapılandırılmalıdır | Bulut Hizmeti (genişletilmiş destek) rol örneklerinizi herhangi bir işletim sistemi güvenlik açığına maruz kalmadıklarından emin olarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Cloud Services (genişletilmiş destek) rol örneklerinin yüklü bir uç nokta koruma çözümü olmalıdır | Bulut Hizmetleri (genişletilmiş destek) rol örneklerinizi tehditlere ve güvenlik açıklarına karşı korumak için bunlara bir uç nokta koruma çözümü yüklendiğinden emin olun. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Cloud Services (genişletilmiş destek) rol örneklerinde sistem güncelleştirmeleri yüklü olmalıdır | En son güvenlik ve kritik güncelleştirmelerin yüklü olduğundan emin olarak Cloud Services (genişletilmiş destek) rol örneklerinizin güvenliğini sağlayın. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Gelişmiş Tehdit Koruması'nın MySQL için Azure veritabanı esnek sunucularında etkinleştirilecek şekilde yapılandırılması | MySQL için Azure veritabanı esnek sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirerek veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılayın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Gelişmiş Tehdit Koruması'nı PostgreSQL için Azure veritabanı esnek sunucularında etkinleştirilecek şekilde yapılandırma | PostgreSQL için Azure veritabanı esnek sunucularınızda Gelişmiş Tehdit Koruması'nı etkinleştirerek veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılayın. | DeployIfNotExists, Devre Dışı | 1.1.0 |
Arc özellikli SQL Server'ları Azure İzleyici Aracısı'nın otomatik olarak yüklenmesi için yapılandırma | Windows Arc özellikli SQL Sunucularınızda Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.3.0 |
Arc özellikli SQL Server'ları SQL için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | Windows Arc özellikli SQL Server'ları SQL için Microsoft Defender aracısını otomatik olarak yükleyecek şekilde yapılandırın. SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. | DeployIfNotExists, Devre Dışı | 1.2.0 |
Arc özellikli SQL Server'ları, Log Analytics çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu, Veri Toplama Kuralı ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.5.0 |
Kullanıcı tanımlı bir LA çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yüklemek üzere Arc özellikli SQL Server'ları yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Kullanıcı tanımlı Log Analytics çalışma alanıyla aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı oluşturun. | DeployIfNotExists, Devre Dışı | 1.7.0 |
Sql DCR için Microsoft Defender'a Veri Toplama Kuralı İlişkilendirmesi ile Arc özellikli SQL Server'ları yapılandırma | Arc özellikli SQL Sunucuları ile SQL DCR için Microsoft Defender arasındaki ilişkiyi yapılandırın. Bu ilişkilendirme silindiğinde arc özellikli bu SQL Sunucuları için güvenlik açıklarının algılanması bozulacaktır. | DeployIfNotExists, Devre Dışı | 1.1.0 |
Sql kullanıcı tanımlı DCR için Microsoft Defender'a Veri Toplama Kuralı İlişkilendirmesi ile Arc özellikli SQL Server'ları yapılandırma | Arc özellikli SQL Sunucuları ile SQL için Microsoft Defender kullanıcı tanımlı DCR arasındaki ilişkiyi yapılandırın. Bu ilişkilendirme silindiğinde arc özellikli bu SQL Sunucuları için güvenlik açıklarının algılanması bozulacaktır. | DeployIfNotExists, Devre Dışı | 1.3.0 |
Uygulama Hizmeti için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | DeployIfNotExists, Devre Dışı | 1.0.1 |
Azure SQL veritabanını etkinleştirmek için Azure Defender'ı yapılandırma | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
Açık kaynak ilişkisel veritabanlarını etkinleştirmek için Azure Defender'ı yapılandırma | Açık kaynak ilişkisel veritabanları için Azure Defender, veritabanlarına erişmeye veya veritabanlarını kötüye kullanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılar. Açık kaynak ilişkisel veritabanları için Azure Defender'ın özellikleri hakkında daha fazla bilgi için adresine bakın https://aka.ms/AzDforOpenSourceDBsDocu. Önemli: Bu planın etkinleştirilmesi, açık kaynak ilişkisel veritabanlarınızı korumayla ilgili ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında fiyatlandırma hakkında bilgi edinin: https://aka.ms/pricing-security-center | DeployIfNotExists, Devre Dışı | 1.0.0 |
Resource Manager için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | DeployIfNotExists, Devre Dışı | 1.1.0 |
Sunucular için Azure Defender'ı etkinleştirilecek şekilde yapılandırma | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | DeployIfNotExists, Devre Dışı | 1.0.1 |
Makinelerde SQL sunucularının etkinleştirilmesi için Azure Defender'ı yapılandırma | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
Depolama için temel Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma (yalnızca Etkinlik İzleme) | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılayan Azure'a özel bir güvenlik zekası katmanıdır. Bu ilke, temel Depolama için Defender özelliklerini (Etkinlik İzleme) etkinleştirir. Karşıya Yüklenen Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama da dahil olmak üzere tam korumayı etkinleştirmek için tam etkinleştirme ilkesini kullanın: aka.ms/DefenderForStoragePolicy. Depolama için Defender özellikleri ve avantajları hakkında daha fazla bilgi edinmek için aka.ms/DefenderForStorage adresini ziyaret edin. | DeployIfNotExists, Devre Dışı | 1.1.0 |
Makineleri güvenlik açığı değerlendirme sağlayıcısı alacak şekilde yapılandırma | Azure Defender, makineleriniz için ek ücret ödemeden güvenlik açığı taraması içerir. Qualys lisansına veya Qualys hesabına bile ihtiyacınız yoktur. Her şey Güvenlik Merkezi'nin içinde sorunsuz bir şekilde işlenir. Bu ilkeyi etkinleştirdiğinizde Azure Defender, Qualys güvenlik açığı değerlendirme sağlayıcısını henüz yüklü olmayan tüm desteklenen makinelere otomatik olarak dağıtır. | DeployIfNotExists, Devre Dışı | 4.0.0 |
Microsoft Defender CSPM planını yapılandırma | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Microsoft Defender CSPM'yi etkinleştirilecek şekilde yapılandırma | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | DeployIfNotExists, Devre Dışı | 1.0.2 |
Azure Cosmos DB için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Azure Cosmos DB için Microsoft Defender, Azure Cosmos DB hesaplarınızdaki veritabanlarından yararlanma girişimlerini algılayan, Azure'a özel bir güvenlik katmanıdır. Azure Cosmos DB için Defender, olası SQL eklemelerini, Microsoft Tehdit Bilgileri'ni temel alan bilinen kötü aktörleri, şüpheli erişim düzenlerini ve güvenliği aşılmış kimlikler veya kötü niyetli insider'lar aracılığıyla veritabanınızın olası kötüye kullanımlarını algılar. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Kapsayıcılar için Microsoft Defender planını yapılandırma | Kapsayıcılar için Defender planına sürekli yeni özellikler ekleniyor ve bu da kullanıcının açıkça etkinleştirilmesini gerektirebilir. Tüm yeni özelliklerin etkinleştirildiğinden emin olmak için bu ilkeyi kullanın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Kapsayıcılar için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | DeployIfNotExists, Devre Dışı | 1.0.1 |
Bulut için Microsoft Defender ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma (WDATP_EXCLUDE_LINUX...) | Linux sunucuları için MDE'nin otomatik olarak sağlanmasını etkinleştirmek için Bulut için Microsoft Defender içinde (WDATP_EXCLUDE_LINUX_...olarak da bilinir) Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırılır. Bu ayarın uygulanabilmesi için WDATP ayarının açık olması gerekir. Daha fazla bilgi için bkz. https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
Bulut için Microsoft Defender (WDATP_UNIFIED_SOLUTION) ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma | Windows Server 2012R2 ve 2016 için MDE Birleşik Aracısı'nın otomatik olarak sağlanmasını etkinleştirmek için Bulut için Microsoft Defender (WDATP_UNIFIED_SOLUTION olarak da bilinir) içinde Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırılır. Bu ayarın uygulanabilmesi için WDATP ayarının açık olması gerekir. Daha fazla bilgi için bkz. https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
Bulut için Microsoft Defender (WDATP) ile Uç Nokta için Microsoft Defender tümleştirme ayarlarını yapılandırma | MMA aracılığıyla MDE'ye eklenen Windows alt düzey makineler için Bulut için Microsoft Defender (WDATP olarak da bilinir) içinde Uç Nokta için Microsoft Defender tümleştirme ayarlarını ve Windows Server 2019, Windows Sanal Masaüstü ve üzerinde MDE'nin otomatik olarak sağlanmasını yapılandırır. Diğer ayarların (WDATP_UNIFIED vb.) çalışması için açık olmalıdır. Daha fazla bilgi için bkz. https://video2.skills-academy.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Devre Dışı | 1.0.0 |
Key Vault için Microsoft Defender planını yapılandırma | Key Vault için Microsoft Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | DeployIfNotExists, Devre Dışı | 1.1.0 |
Sunucular için Microsoft Defender planını yapılandırma | Sunucular için Defender'a sürekli yeni özellikler eklenmektedir ve bu da kullanıcının açıkça etkinleştirilmesini gerektirebilir. Tüm yeni özelliklerin etkinleştirildiğinden emin olmak için bu ilkeyi kullanın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
SQL için Microsoft Defender'ı Synapse çalışma alanlarında etkinleştirilecek şekilde yapılandırma | SQL veritabanlarına erişmeye veya bu veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Azure Synapse çalışma alanlarınızda SQL için Microsoft Defender'ı etkinleştirin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Depolama için Microsoft Defender'ı (Klasik) etkinleştirilecek şekilde yapılandırma | Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. | DeployIfNotExists, Devre Dışı | 1.0.2 |
Depolama için Microsoft Defender'ı etkinleştirilecek şekilde yapılandırma | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılayan Azure'a özel bir güvenlik zekası katmanıdır. Bu ilke tüm Depolama için Defender özelliklerini etkinleştirir; Etkinlik İzleme, Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama. Depolama için Defender özellikleri ve avantajları hakkında daha fazla bilgi edinmek için aka.ms/DefenderForStorage adresini ziyaret edin. | DeployIfNotExists, Devre Dışı | 1.4.0 |
Yapay zeka iş yükleri için Microsoft Defender tehdit korumasını yapılandırma | Yapay zeka iş yükleri için tehdit korumasına sürekli yeni özellikler eklenmektedir ve bu da kullanıcının açıkça etkinleştirilmesini gerektirebilir. Tüm yeni özelliklerin etkinleştirildiğinden emin olmak için bu ilkeyi kullanın. | DeployIfNotExists, Devre Dışı | 1.0.0 |
SQL Sanal Makineler'yi Azure İzleyici Aracısı'nın otomatik olarak yüklenmesi için yapılandırma | Windows SQL Sanal Makineler'nizde Azure İzleyici Aracısı uzantısının dağıtımını otomatikleştirin. Daha fazla bilgi edinin: https://aka.ms/AMAOverview. | DeployIfNotExists, Devre Dışı | 1.5.0 |
SQL için Microsoft Defender'ı otomatik olarak yüklemek için SQL Sanal Makineler yapılandırma | Windows SQL Sanal Makineler'yi SQL için Microsoft Defender uzantısını otomatik olarak yükleyecek şekilde yapılandırın. SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. | DeployIfNotExists, Devre Dışı | 1.5.0 |
SQL Sanal Makineler'yi, Log Analytics çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu, Veri Toplama Kuralı ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.7.0 |
SQL Sanal Makineler'yi kullanıcı tanımlı la çalışma alanıyla SQL ve DCR için Microsoft Defender'ı otomatik olarak yükleyecek şekilde yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Kullanıcı tanımlı Log Analytics çalışma alanıyla aynı bölgede bir kaynak grubu ve Veri Toplama Kuralı oluşturun. | DeployIfNotExists, Devre Dışı | 1.8.0 |
SQL için Microsoft Defender Log Analytics çalışma alanını yapılandırma | SQL için Microsoft Defender aracıdan olayları toplar ve bunları güvenlik uyarıları ve uyarlanmış sağlamlaştırma görevleri (öneriler) sağlamak için kullanır. Makineyle aynı bölgede bir kaynak grubu ve Log Analytics çalışma alanı oluşturun. | DeployIfNotExists, Devre Dışı | 1.4.0 |
Yerleşik kullanıcı tarafından atanan yönetilen kimlik oluşturma ve atama | SQL sanal makinelerine uygun ölçekte yerleşik bir kullanıcı tarafından atanan yönetilen kimlik oluşturun ve atayın. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
Dağıt - Azure Güvenlik Merkezi uyarıları için gizleme kurallarını yapılandırma | Yönetim grubunuz veya aboneliğinizde gizleme kuralları dağıtarak uyarı yorgunluğunu azaltmak için Azure Güvenlik Merkezi uyarılarını gizleyin. | deployIfNotExists | 1.0.0 |
Bulut için Microsoft Defender veriler için olay hub'ına dışarı aktarmayı güvenilir hizmet olarak dağıtma | Bulut için Microsoft Defender verilerinin güvenilir bir hizmeti olarak Olay Hub'ına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamda hedef Olay Hub'ı ile güvenilir bir hizmet yapılandırması olarak Olay Hub'ına dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Bulut için Microsoft Defender verileri için Olay Hub'ına dışarı aktarma dağıtma | Bulut için Microsoft Defender verilerinin Event Hub'ına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamda hedef Olay Hub'ı ile Olay Hub'ı yapılandırmasına bir dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 4.2.0 |
Bulut için Microsoft Defender verileri için Log Analytics çalışma alanına dışarı aktarma dağıtma | Bulut için Microsoft Defender verilerinin Log Analytics çalışma alanına dışarı aktarmayı etkinleştirin. Bu ilke, koşullarınız ve atanan kapsamdaki hedef çalışma alanınızla Log Analytics çalışma alanı yapılandırmasına dışarı aktarma dağıtır. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 4.1.0 |
Bulut için Microsoft Defender uyarıları için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender uyarılarının otomasyonunun etkinleştirilmesi. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
Bulut için Microsoft Defender önerileri için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender önerilerinin otomasyonunun etkinleştirilmesi. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
Bulut için Microsoft Defender mevzuat uyumluluğu için İş Akışı Otomasyonu dağıtma | Bulut için Microsoft Defender mevzuat uyumluluğunun otomasyonuna olanak tanıyın. Bu ilke, koşullarınızla birlikte bir iş akışı otomasyonu dağıtır ve atanan kapsamda tetikleyiciler oluşturur. Bu ilkeyi yeni oluşturulan aboneliklere dağıtmak için Uyumluluk sekmesini açın, ilgili uyumlu olmayan atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 5.0.1 |
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
Aboneliğinizde Bulut için Microsoft Defender etkinleştirme | Bulut için Microsoft Defender tarafından izlenilmeyen mevcut abonelikleri tanımlar ve Bulut için Defender ücretsiz özellikleriyle korur. Zaten izlenen abonelikler uyumlu olarak kabul edilir. Yeni oluşturulan abonelikleri kaydetmek için uyumluluk sekmesini açın, uyumlu olmayan ilgili atamayı seçin ve bir düzeltme görevi oluşturun. | deployIfNotExists | 1.0.1 |
Özel çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin özel bir çalışma alanı kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Varsayılan çalışma alanı olan aboneliklerinizde Güvenlik Merkezi'nin Log Analytics aracısını otomatik olarak sağlamasını etkinleştirin. | Güvenlik Merkezi'nin ASC varsayılan çalışma alanını kullanarak güvenlik verilerini izlemek ve toplamak için aboneliklerinizde Log Analytics aracısını otomatik olarak sağlamasına izin verin. | DeployIfNotExists, Devre Dışı | 1.0.0 |
Yapay zeka iş yükleri için tehdit korumasını etkinleştirme | Yapay zeka iş yükleri için Microsoft tehdit koruması, evde yetiştirilen Üretken yapay zeka destekli uygulamaları korumaya yönelik bağlamsal, kanıt tabanlı güvenlik uyarıları sağlar | DeployIfNotExists, Devre Dışı | 1.0.0 |
Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir | En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Uç nokta koruması makinelerinize yüklenmelidir | Makinelerinizi tehditlere ve güvenlik açıklarına karşı korumak için desteklenen bir uç nokta koruma çözümü yükleyin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
Log Analytics aracısı Cloud Services (genişletilmiş destek) rol örneklerinize yüklenmelidir | Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Cloud Services (genişletilmiş destek) rol örneklerinizden veri toplar. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Makinelerin gizli dizi bulguları çözümlenmelidir | Sanal makinelerinizdeki gizli dizi tarama çözümlerinden gizli dizi bulguları içerip içermediklerini algılamak için sanal makineleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.2 |
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Microsoft Defender CSPM etkinleştirilmelidir | Defender Bulut Güvenliği Duruş Yönetimi (CSPM), riski belirlemeye, önceliklendirmeye ve azaltmaya yardımcı olmak için gelişmiş duruş özellikleri ve yeni bir akıllı bulut güvenlik grafiği sağlar. Defender CSPM, Bulut için Defender'de varsayılan olarak açık olan ücretsiz temel güvenlik duruşu özelliklerine ek olarak kullanılabilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
API'ler için Microsoft Defender etkinleştirilmelidir | API'ler için Microsoft Defender, yaygın API tabanlı saldırıları ve güvenlik yanlış yapılandırmalarını izlemek için yeni bulma, koruma, algılama ve yanıt kapsamı getirir. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Azure Cosmos DB için Microsoft Defender etkinleştirilmelidir | Azure Cosmos DB için Microsoft Defender, Azure Cosmos DB hesaplarınızdaki veritabanlarından yararlanma girişimlerini algılayan, Azure'a özel bir güvenlik katmanıdır. Azure Cosmos DB için Defender, olası SQL eklemelerini, Microsoft Tehdit Bilgileri'ni temel alan bilinen kötü aktörleri, şüpheli erişim düzenlerini ve güvenliği aşılmış kimlikler veya kötü niyetli insider'lar aracılığıyla veritabanınızın olası kötüye kullanımlarını algılar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Korumasız Synapse çalışma alanları için SQL için Microsoft Defender etkinleştirilmelidir | Synapse çalışma alanlarınızı korumak için SQL için Defender'ı etkinleştirin. SQL için Defender, veritabanlarına erişme veya veritabanlarını kötüye kullanmak için olağan dışı ve zararlı olabilecek girişimleri gösteren anormal etkinlikleri algılamak için Synapse SQL'inizi izler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
SQL için Microsoft Defender durumu Arc özellikli SQL Sunucuları için korunmalıdır | SQL için Microsoft Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak, hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. Etkinleştirildikten sonra koruma durumu kaynağın etkin olarak izlendiğini gösterir. Defender etkinleştirildiğinde bile etkin koruma sağlamak için aracı, makine, çalışma alanı ve SQL sunucusunda birden çok yapılandırma ayarı doğrulanmalıdır. | Denetim, Devre Dışı | 1.0.1 |
Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır | Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. | Denetim, Devre Dışı | 1.0.4 |
Güvenlik Merkezi standart fiyatlandırma katmanı seçilmelidir | Standart fiyatlandırma katmanı, ağlar ve sanal makineler için tehdit algılamaya olanak sağlayarak Azure Güvenlik Merkezi tehdit bilgileri, anomali algılama ve davranış analizi sağlar | Denetim, Devre Dışı | 1.1.0 |
Alternatif bir güvenlik açığı değerlendirme çözümüne geçiş için abonelikleri ayarlama | Bulut için Microsoft Defender, makineleriniz için ek ücret ödemeden güvenlik açığı taraması sunar. Bu ilkenin etkinleştirilmesi, Bulut için Defender yerleşik Microsoft Defender güvenlik açığı yönetimi çözümündeki bulguları desteklenen tüm makinelere otomatik olarak yaymasına neden olur. | DeployIfNotExists, Devre Dışı | 1.0.0-önizleme |
SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
Makine planındaki SQL sunucuları için SQL server hedefli otomatik sağlama etkinleştirilmelidir | SQL VM'lerinizin ve Arc özellikli SQL Sunucularınızın korunduğundan emin olmak için, SQL hedefli Azure İzleme Aracısı'nın otomatik olarak dağıtılacak şekilde yapılandırıldığından emin olun. Bu bileşen kullanım dışı bırakıldığı için Microsoft Monitoring Agent'ın otomatik sağlamasını daha önce yapılandırdıysanız da bu gereklidir. Daha fazla bilgi edinin: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Devre Dışı | 1.0.0 |
Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Sistem güncelleştirmeleri makinelerinize yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) | Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik deliklerine yönelik kritik düzeltme eklerini içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla kötüye kullanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Tüm bekleyen düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Sonraki adımlar
Bu makalede, Bulut için Defender Azure İlkesi güvenlik ilkesi tanımlarını öğrendiniz. Girişimler, ilkeler ve bunların Bulut için Defender önerileriyle ilişkisi hakkında daha fazla bilgi edinmek için bkz. Güvenlik ilkeleri, girişimler ve öneriler nedir?.