NIST SP 800-171 R2 Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları
Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının NIST SP 800-171 R2'deki uyumluluk etki alanları ve denetimlerle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . NIST SP 800-171 R2. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.
Aşağıdaki eşlemeler NIST SP 800-171 R2 denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından NIST SP 800-171 Rev. 2 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.
Önemli
Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.
Erişim Denetimi
Sistem erişimini yetkili kullanıcılar, yetkili kullanıcılar adına hareket eden işlemler ve cihazlarla (diğer sistemler dahil) sınırlayın.
Kimlik: NIST SP 800-171 R2 3.1.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Parolasız hesapları olan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir | SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Bilgi sistemi hesap türlerini tanımlama | CMA_0121 - Bilgi sistemi hesap türlerini tanımlama | El ile, Devre Dışı | 1.1.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Tanımlanan bir koşuldan sonra kullanıcı oturumunu sonlandır (otomatik olarak).
Kimlik: NIST SP 800-171 R2 3.1.11 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kullanıcı oturumlarını otomatik olarak sonlandır | CMA_C1054 - Kullanıcı oturumlarını otomatik olarak sonlandır | El ile, Devre Dışı | 1.1.0 |
Uzaktan erişim oturumlarını izleme ve denetleme.
Kimlik: NIST SP 800-171 R2 3.1.12 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Kuruluş genelinde erişimi izleme | CMA_0376 - Kuruluş genelinde erişimi izleme | El ile, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Uzaktan erişim oturumlarının gizliliğini korumak için şifreleme mekanizmaları kullanın.
Kimlik: NIST SP 800-171 R2 3.1.13 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Kullanıcılara sistem oturum açma veya erişimi bildirme | CMA_0382 - Kullanıcılara sistem oturum açma veya erişimi bildirme | El ile, Devre Dışı | 1.1.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Şifreleme kullanarak aktarımdaki verileri koruma | CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma | El ile, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Yönetilen erişim denetim noktaları aracılığıyla uzaktan erişimi yönlendirme.
Kimlik: NIST SP 800-171 R2 3.1.14 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Spring Cloud ağ ekleme kullanmalıdır | Azure Spring Cloud örnekleri aşağıdaki amaçlarla sanal ağ ekleme özelliğini kullanmalıdır: 1. Azure Spring Cloud'u İnternet'ten yalıtın. 2. Azure Spring Cloud'un şirket içi veri merkezlerindeki sistemlerle veya diğer sanal ağlardaki Azure hizmetiyle etkileşim kurmasını sağlayın. 3. Müşterilerin Azure Spring Cloud için gelen ve giden ağ iletişimlerini denetlemesini sağlama. | Denetim, Devre Dışı, Reddet | 1.2.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Trafiği yönetilen ağ erişim noktaları üzerinden yönlendirme | CMA_0484 - Trafiği yönetilen ağ erişim noktaları üzerinden yönlendirme | El ile, Devre Dışı | 1.1.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Ayrıcalıklı komutların uzaktan yürütülmesini ve güvenlikle ilgili bilgilere uzaktan erişimi yetkilendirme.
Kimlik: NIST SP 800-171 R2 3.1.15 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uzaktan erişimi yetkilendirme | CMA_0024 - Uzaktan erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı komutlara uzaktan erişimi yetkilendirme | CMA_C1064 - Ayrıcalıklı komutlara uzaktan erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Belge uzaktan erişim yönergeleri | CMA_0196 - Uzaktan erişim yönergelerini belgeleyin | El ile, Devre Dışı | 1.1.0 |
| Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama | CMA_0315 - Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Gizlilik eğitimi sağlama | CMA_0415 - Gizlilik eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
Bu tür bağlantılara izin vermeden önce kablosuz erişimi yetkilendirme
Kimlik: NIST SP 800-171 R2 3.1.16 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kablosuz erişim yönergelerini belgeleyin ve uygulayın | CMA_0190 - Kablosuz erişim yönergelerini belgeleyin ve uygulayın | El ile, Devre Dışı | 1.1.0 |
| Kablosuz erişimi koruma | CMA_0411 - Kablosuz erişimi koruma | El ile, Devre Dışı | 1.1.0 |
Kimlik doğrulaması ve şifreleme kullanarak kablosuz erişimi koruma
Kimlik: NIST SP 800-171 R2 3.1.17 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kablosuz erişim yönergelerini belgeleyin ve uygulayın | CMA_0190 - Kablosuz erişim yönergelerini belgeleyin ve uygulayın | El ile, Devre Dışı | 1.1.0 |
| Ağ cihazlarını tanımlama ve kimlik doğrulaması | CMA_0296 - Ağ cihazlarını tanımlama ve kimlik doğrulaması | El ile, Devre Dışı | 1.1.0 |
| Kablosuz erişimi koruma | CMA_0411 - Kablosuz erişimi koruma | El ile, Devre Dışı | 1.1.0 |
Mobil cihazların bağlantısını denetleme.
Kimlik: NIST SP 800-171 R2 3.1.18 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Mobil cihaz gereksinimlerini tanımlama | CMA_0122 - Mobil cihaz gereksinimlerini tanımlama | El ile, Devre Dışı | 1.1.0 |
Mobil cihazlarda ve mobil bilgi işlem platformlarında CUI şifreleme
Kimlik: NIST SP 800-171 R2 3.1.19 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Mobil cihaz gereksinimlerini tanımlama | CMA_0122 - Mobil cihaz gereksinimlerini tanımlama | El ile, Devre Dışı | 1.1.0 |
| Şifreleme kullanarak aktarımdaki verileri koruma | CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma | El ile, Devre Dışı | 1.1.0 |
Sistem erişimini yetkili kullanıcıların yürütmesine izin verilen işlem ve işlev türleriyle sınırlayın.
Kimlik: NIST SP 800-171 R2 3.1.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Ayrıcalıklı işlevleri denetleme | CMA_0019 - Ayrıcalıklı işlevleri denetleme | El ile, Devre Dışı | 1.1.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme | CMA_0022 - Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Erişimi yetkilendirme ve yönetme | CMA_0023 - Erişimi yetkilendirme ve yönetme | El ile, Devre Dışı | 1.1.0 |
| Uzaktan erişimi yetkilendirme | CMA_0024 - Uzaktan erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Tüm hesapların uygun kullanımını zorunlu kılma | CMA_C1023 - Tüm hesapların uygun kullanımını zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| Mantıksal erişimi zorunlu kılma | CMA_0245 - Mantıksal erişimi zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma | CMA_0246 - Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Ayrıcalıklı rol atamalarını izleme | CMA_0378 - Ayrıcalıklı rol atamalarını izleme | El ile, Devre Dışı | 1.1.0 |
| Hesap oluşturma için onay iste | CMA_0431 - Hesap oluşturma için onay iste | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı hesaplara erişimi kısıtlama | CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama | El ile, Devre Dışı | 1.1.0 |
| Hassas verilere erişimi olan kullanıcı gruplarını ve uygulamaları gözden geçirme | CMA_0481 - Hassas verilere erişimi olan kullanıcı gruplarını ve uygulamaları gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı rolleri uygun şekilde iptal etme | CMA_0483 - Ayrıcalıklı rolleri uygun şekilde iptal etme | El ile, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Ayrıcalıklı kimlik yönetimini kullanma | CMA_0533 - Ayrıcalıklı kimlik yönetimi kullanma | El ile, Devre Dışı | 1.1.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Dış sistemlerin bağlantılarını doğrulayın ve denetleyin/sınırlayın.
Kimlik: NIST SP 800-171 R2 3.1.20 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kaynaklara erişmek için hüküm ve koşullar oluşturma | CMA_C1076 - Kaynaklara erişmek için hüküm ve koşullar oluşturma | El ile, Devre Dışı | 1.1.0 |
| Kaynakları işlemek için hüküm ve koşullar oluşturma | CMA_C1077 - Kaynakları işlemek için hüküm ve koşullar oluşturma | El ile, Devre Dışı | 1.1.0 |
Dış sistemlerde taşınabilir depolama cihazlarının kullanımını sınırlayın.
Kimlik: NIST SP 800-171 R2 3.1.21 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme | El ile, Devre Dışı | 1.1.0 |
| Taşınabilir depolama cihazlarının kullanımını denetleme | CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
Genel olarak erişilebilen sistemlerde yayınlanan veya işlenen CUI'leri denetleme.
Kimlik: NIST SP 800-171 R2 3.1.22 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yetkili personeli genel olarak erişilebilen bilgileri yayınlaması için belirleme | CMA_C1083 - Herkese açık bilgileri yayınlamak için yetkili personel atama | El ile, Devre Dışı | 1.1.0 |
| Genel olarak erişilebilen bilgileri göndermeden önce içeriği gözden geçirme | CMA_C1085 - Genel olarak erişilebilen bilgileri göndermeden önce içeriği gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Herkese açık olmayan bilgiler için genel olarak erişilebilen içeriği gözden geçirme | CMA_C1086 - Genel olarak erişilebilen içeriği, abonelik dışı bilgiler için gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Personeli, yayım dışı bilgilerin açıklanması konusunda eğitme | CMA_C1084 - Kişisel olmayan bilgilerin açığa çıkması konusunda personeli eğitme | El ile, Devre Dışı | 1.1.0 |
CUI akışını onaylanan yetkilendirmelere uygun olarak kontrol edin.
Kimlik: NIST SP 800-171 R2 3.1.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| Denetim bilgileri akışı | CMA_0079 - Denetim bilgileri akışı | El ile, Devre Dışı | 1.1.0 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Şifrelenmiş bilgilerin akış denetim mekanizmalarını kullanma | CMA_0211 - Şifrelenmiş bilgilerin akış denetim mekanizmalarını kullanma | El ile, Devre Dışı | 1.1.0 |
| Güvenlik duvarı ve yönlendirici yapılandırma standartlarını oluşturma | CMA_0272 - Güvenlik duvarı ve yönlendirici yapılandırma standartlarını oluşturma | El ile, Devre Dışı | 1.1.0 |
| Kart sahibi veri ortamı için ağ segmentasyonu oluşturma | CMA_0273 - Kart sahibi veri ortamı için ağ segmentasyonu oluşturma | El ile, Devre Dışı | 1.1.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Aşağı akış bilgi alışverişlerini tanımlama ve yönetme | CMA_0298 - Aşağı akış bilgi değişimlerini tanımlama ve yönetme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik ilkesi filtrelerini kullanarak bilgi akışı denetimi | CMA_C1029 - Güvenlik ilkesi filtrelerini kullanarak bilgi akışı denetimi | El ile, Devre Dışı | 1.1.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
Kötü niyetli aktivite riskini harmanlamadan azaltmak için bireylerin görevlerini ayırın.
Kimlik: NIST SP 800-171 R2 3.1.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yöneticiler grubunda belirtilen üyelerden herhangi birinin eksik olduğu Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yöneticiler grubu ilke parametresinde listelenen bir veya daha fazla üye içermiyorsa makineler uyumsuz olur. | auditIfNotExists | 2.0.0 |
| Yöneticiler grubunda belirtilen üyelere sahip Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Yerel Yöneticiler grubu ilke parametresinde listelenen üyelerden birini veya daha fazlasını içeriyorsa makineler uyumsuz olur. | auditIfNotExists | 2.0.0 |
| Görev ayrımını desteklemek için erişim yetkilendirmeleri tanımlama | CMA_0116 - Görev ayrımını desteklemek için erişim yetkilendirmeleri tanımlama | El ile, Devre Dışı | 1.1.0 |
| Görev ayrımını belgele | CMA_0204 - Görev ayrımını belgele | El ile, Devre Dışı | 1.1.0 |
| Bireylerin ayrı görevleri | CMA_0492 - Kişilerin ayrı görevleri | El ile, Devre Dışı | 1.1.0 |
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Belirli güvenlik işlevleri ve ayrıcalıklı hesaplar da dahil olmak üzere en az ayrıcalık ilkesini kullanın.
Kimlik: NIST SP 800-171 R2 3.1.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme | CMA_0022 - Güvenlik işlevlerine ve bilgilerine erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Erişimi yetkilendirme ve yönetme | CMA_0023 - Erişimi yetkilendirme ve yönetme | El ile, Devre Dışı | 1.1.0 |
| Erişim denetimi modeli tasarlama | CMA_0129 - Erişim denetimi modeli tasarlama | El ile, Devre Dışı | 1.1.0 |
| En az ayrıcalık erişimi kullanın | CMA_0212 - En az ayrıcalık erişimi kullanın | El ile, Devre Dışı | 1.1.0 |
| Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma | CMA_0246 - Zorunlu ve isteğe bağlı erişim denetimi ilkelerini zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı hesaplara erişimi kısıtlama | CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama | El ile, Devre Dışı | 1.1.0 |
Ayrıcalıklı olmayan kullanıcıların ayrıcalıklı işlevleri yürütmesini engelleyin ve denetim günlüklerinde bu işlevlerin yürütülmesini yakalayın.
Kimlik: NIST SP 800-171 R2 3.1.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Ayrıcalıklı işlevleri denetleme | CMA_0019 - Ayrıcalıklı işlevleri denetleme | El ile, Devre Dışı | 1.1.0 |
| Günlüğe kaydedilen ayrıcalıklı komutların tam metin analizini yapma | CMA_0056 - Günlüğe kaydedilen ayrıcalıklı komutların tam metin analizini yapma | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı rol atamalarını izleme | CMA_0378 - Ayrıcalıklı rol atamalarını izleme | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı hesaplara erişimi kısıtlama | CMA_0446 - Ayrıcalıklı hesaplara erişimi kısıtlama | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı rolleri uygun şekilde iptal etme | CMA_0483 - Ayrıcalıklı rolleri uygun şekilde iptal etme | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıklı kimlik yönetimini kullanma | CMA_0533 - Ayrıcalıklı kimlik yönetimi kullanma | El ile, Devre Dışı | 1.1.0 |
Başarısız oturum açma girişimlerini sınırlayın.
Kimlik: NIST SP 800-171 R2 3.1.8 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Ardışık başarısız oturum açma girişimleri sınırını zorlama | CMA_C1044 - Ardışık başarısız oturum açma girişimlerinin sınırını zorlama | El ile, Devre Dışı | 1.1.0 |
Fiziksel Koruma
Kurumsal sistemlere, ekipmana ve ilgili işletim ortamlarına fiziksel erişimi yetkili kişilerle sınırlayın.
Kimlik: NIST SP 800-171 R2 3.10.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Fiziksel erişimi denetleme | CMA_0081 - Fiziksel erişimi denetleme | El ile, Devre Dışı | 1.1.0 |
Kurumsal sistemler için fiziksel tesisi ve destek altyapısını koruma ve izleme.
Kimlik: NIST SP 800-171 R2 3.10.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Alarm sistemi yükleme | CMA_0338 - Alarm sistemi yükleme | El ile, Devre Dışı | 1.1.0 |
| Güvenli bir gözetim kamera sistemini yönetme | CMA_0354 - Güvenli bir gözetim kamera sistemini yönetme | El ile, Devre Dışı | 1.1.0 |
Ziyaretçilere eşlik edin ve ziyaretçi etkinliğini izleyin.
Kimlik: NIST SP 800-171 R2 3.10.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Fiziksel erişimi denetleme | CMA_0081 - Fiziksel erişimi denetleme | El ile, Devre Dışı | 1.1.0 |
| Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama | CMA_0323 - Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama | El ile, Devre Dışı | 1.1.0 |
Fiziksel erişimin denetim günlüklerini koruyun.
Kimlik: NIST SP 800-171 R2 3.10.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Fiziksel erişimi denetleme | CMA_0081 - Fiziksel erişimi denetleme | El ile, Devre Dışı | 1.1.0 |
Fiziksel erişim cihazlarını denetleme ve yönetme.
Kimlik: NIST SP 800-171 R2 3.10.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Fiziksel erişimi denetleme | CMA_0081 - Fiziksel erişimi denetleme | El ile, Devre Dışı | 1.1.0 |
| Fiziksel anahtar yönetimi işlemi tanımlama | CMA_0115 - Fiziksel anahtar yönetimi işlemi tanımlama | El ile, Devre Dışı | 1.1.0 |
| Varlık envanteri oluşturma ve sürdürme | CMA_0266 - Varlık envanteri oluşturma ve sürdürme | El ile, Devre Dışı | 1.1.0 |
| Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama | CMA_0323 - Ofisler, çalışma alanları ve güvenli alanlar için fiziksel güvenlik uygulama | El ile, Devre Dışı | 1.1.0 |
Alternatif iş sitelerinde CUI için koruma önlemlerini zorunlu kılma.
Kimlik: NIST SP 800-171 R2 3.10.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama | CMA_0315 - Alternatif iş sitelerinin güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
Risk Değerlendirmesi
Kuruluş sistemlerinin çalışmasından ve CUI'nin işlenmesinden, depolanmasından veya iletiminden kaynaklanan kuruluş operasyonları, kuruluş varlıkları ve bireylere yönelik riski düzenli aralıklarla değerlendirin
Kimlik: NIST SP 800-171 R2 3.11.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Üçüncü taraf ilişkilerinde riski değerlendirme | CMA_0014 - Üçüncü taraf ilişkilerinde riski değerlendirme | El ile, Devre Dışı | 1.1.0 |
| Risk değerlendirmesi gerçekleştirme | CMA_0388 - Risk değerlendirmesi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
Kurumsal sistemlerde ve uygulamalarda belirli aralıklarla ve bu sistemleri ve uygulamaları etkileyen yeni güvenlik açıkları belirlendiğinde güvenlik açıklarını tarayın.
Kimlik: NIST SP 800-171 R2 3.11.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Güvenlik açığı tarama etkinliklerini yürütmek için ayrıcalıklı erişim uygulama | CMA_C1555 - Güvenlik açığı tarama etkinliklerini yürütmek için ayrıcalıklı erişim uygulama | El ile, Devre Dışı | 1.1.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik açığı taramaları gerçekleştirme | CMA_0393 - Güvenlik açığı taramaları gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Bilgi sistemi kusurlarını düzeltme | CMA_0427 - Bilgi sistemi kusurlarını düzeltme | El ile, Devre Dışı | 1.1.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Güvenlik açıklarını risk değerlendirmelerine uygun olarak düzeltin.
Kimlik: NIST SP 800-171 R2 3.11.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik açığı taramaları gerçekleştirme | CMA_0393 - Güvenlik açığı taramaları gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Bilgi sistemi kusurlarını düzeltme | CMA_0427 - Bilgi sistemi kusurlarını düzeltme | El ile, Devre Dışı | 1.1.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Makinelerdeki SQL sunucularında güvenlik açığı bulguları çözümlenmelidir | SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıklarına karşı tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi uygulamalardan sapmaları ortaya çıkarır. Bulunan güvenlik açıklarını çözmek veritabanı güvenlik duruşunuzu büyük ölçüde geliştirebilir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Synapse çalışma alanlarınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını keşfedin, izleyin ve düzeltin. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Güvenlik Değerlendirmesi
Denetimlerin uygulamalarında etkili olup olmadığını belirlemek için kuruluş sistemlerindeki güvenlik denetimlerini düzenli aralıklarla değerlendirin.
Kimlik: NIST SP 800-171 R2 3.12.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Güvenlik Denetimlerini Değerlendirme | CMA_C1145 - Güvenlik Denetimlerini Değerlendirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik değerlendirmesi sonuçları sunma | CMA_C1147 - Güvenlik değerlendirmesi sonuçları sunma | El ile, Devre Dışı | 1.1.0 |
| Güvenlik değerlendirme planı geliştirme | CMA_C1144 - Güvenlik değerlendirme planı geliştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik Değerlendirmesi raporu oluşturma | CMA_C1146 - Güvenlik Değerlendirmesi raporu oluşturma | El ile, Devre Dışı | 1.1.0 |
Kuruluş sistemlerindeki eksiklikleri düzeltmek ve güvenlik açıklarını azaltmak veya ortadan kaldırmak için tasarlanmış eylem planları geliştirin ve uygulayın.
Kimlik: NIST SP 800-171 R2 3.12.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| POA geliştirme | CMA_C1156 - POA geliştirme | El ile, Devre Dışı | 1.1.0 |
| Risk yönetimi stratejisi oluşturma | CMA_0258 - Risk yönetimi stratejisi oluşturma | El ile, Devre Dışı | 1.1.0 |
| Güvenlik programı işlemi için eylem ve kilometre taşları planlarını uygulama | CMA_C1737 - Güvenlik programı işlemi için eylem planlarını ve kilometre taşlarını uygulama | El ile, Devre Dışı | 1.1.0 |
| POA&M öğelerini güncelleştirme | CMA_C1157 - POA&M öğelerini güncelleştirme | El ile, Devre Dışı | 1.1.0 |
Denetimlerin sürekli etkili olduğundan emin olmak için güvenlik denetimlerini sürekli olarak izleyin.
Kimlik: NIST SP 800-171 R2 3.12.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Algılamayı yapılandırma beyaz listesi | CMA_0068 - Algılamayı yapılandırma beyaz listesi | El ile, Devre Dışı | 1.1.0 |
| Uç nokta güvenlik çözümü için algılayıcıları açma | CMA_0514 - Uç nokta güvenlik çözümü için algılayıcıları açma | El ile, Devre Dışı | 1.1.0 |
| Bağımsız güvenlik incelemesine tabi tutul | CMA_0515 - Bağımsız güvenlik gözden geçirmesi yapılır | El ile, Devre Dışı | 1.1.0 |
Sistem sınırlarını, sistem çalışma ortamlarını, güvenlik gereksinimlerinin nasıl uygulandığını ve diğer sistemlerle veya diğer sistemlerle bağlantıları açıklayan sistem güvenlik planlarını geliştirin, belgeleyin ve düzenli aralıklarla güncelleştirin.
Kimlik: NIST SP 800-171 R2 3.12.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sistem güvenlik planı geliştirme ve oluşturma | CMA_0151 - Sistem güvenlik planı geliştirme ve oluşturma | El ile, Devre Dışı | 1.1.0 |
| Bilgi güvenliği ilkeleri ve yordamları geliştirme | CMA_0158 - Bilgi güvenliği ilkeleri ve yordamları geliştirme | El ile, Devre Dışı | 1.1.0 |
| Ölçütleri karşılayan SSP geliştirme | CMA_C1492 - Ölçütleri karşılayan SSP geliştirme | El ile, Devre Dışı | 1.1.0 |
| Gizlilik programı oluşturma | CMA_0257 - Gizlilik programı oluşturma | El ile, Devre Dışı | 1.1.0 |
| Bilgi güvenliği programı oluşturma | CMA_0263 - Bilgi güvenliği programı oluşturma | El ile, Devre Dışı | 1.1.0 |
| Bağlı cihazların üretimi için güvenlik gereksinimlerini belirleme | CMA_0279 - Bağlı cihazların üretimi için güvenlik gereksinimleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Bilgi sistemlerinin güvenlik mühendisliği ilkelerini uygulama | CMA_0325 - Bilgi sistemlerinin güvenlik mühendisliği ilkelerini uygulama | El ile, Devre Dışı | 1.1.0 |
| Güncelleştirme bilgileri güvenlik ilkeleri | CMA_0518 - Güncelleştirme bilgileri güvenlik ilkeleri | El ile, Devre Dışı | 1.1.0 |
Sistem ve İletişim Koruması
Kuruluş sistemlerinin dış sınırları ve önemli iç sınırlarındaki iletişimleri (kuruluş sistemleri tarafından iletilen veya alınan bilgiler) izleme, denetleme ve koruma.
Kimlik: NIST SP 800-171 R2 3.13.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Kuruluş sistemlerinde kullanılan şifreleme için şifreleme anahtarları oluşturma ve yönetme.
Kimlik: NIST SP 800-171 R2 3.13.10 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Kurtarma Hizmetleri kasaları yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/AB-CmkEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| [Önizleme]: IoT Hub cihaz sağlama hizmeti verileri müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmelidir | IoT Hub cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Bekleyen veriler hizmet tarafından yönetilen anahtarlarla otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gerekir. CMK'ler, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. CMK şifrelemesi hakkında daha fazla bilgi için bkz https://aka.ms/dps/CMK. . | Denetim, Reddetme, Devre Dışı | 1.0.0-önizleme |
| Azure AI Services kaynakları bekleyen verileri müşteri tarafından yönetilen bir anahtarla (CMK) şifrelemelidir | Bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarların kullanılması, döndürme ve yönetim dahil olmak üzere anahtar yaşam döngüsü üzerinde daha fazla denetim sağlar. Bu özellikle ilgili uyumluluk gereksinimlerine sahip kuruluşlar için geçerlidir. Bu, varsayılan olarak değerlendirilmez ve yalnızca uyumluluk veya kısıtlayıcı ilke gereksinimlerinin gerektirdiği durumlarda uygulanmalıdır. Etkinleştirilmemişse, veriler platform tarafından yönetilen anahtarlar kullanılarak şifrelenir. Bunu uygulamak için, geçerli kapsam için Güvenlik İlkesi'ndeki 'Efekt' parametresini güncelleştirin. | Denetim, Reddetme, Devre Dışı | 2.2.0 |
| FHIR için Azure API bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Bu bir mevzuat veya uyumluluk gereksinimi olduğunda FHIR için Azure API'de depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla yapılan varsayılanın üzerine ikinci bir şifreleme katmanı ekleyerek de çift şifreleme sağlar. | denetim, Denetim, devre dışı, Devre dışı | 1.1.0 |
| Azure Otomasyonu hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Otomasyonu Hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/automation-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Batch hesabı verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/Batch-CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure Container Instance kapsayıcı grubu şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı, Reddet | 1.0.0 |
| Azure Cosmos DB hesapları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Cosmos DB'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/cosmosdb-cmk adresinden daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Data Box işleri, cihaz kilidini açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Data Box için cihaz kilidi açma parolasının şifrelenmesini denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmeti tarafından cihaz kilidi açma parolasına erişimin yönetilmesine de yardımcı olur. Cihazın kendisinde bulunan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten şifrelenir ve cihaz kilidi açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bekleyen Azure Veri Gezgini şifrelemesi müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Veri Gezgini kümenizde müşteri tarafından yönetilen bir anahtar kullanarak bekleyen şifrelemeyi etkinleştirmek, bekleyen şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimleri olan müşteriler için geçerlidir ve anahtarları yönetmek için bir Key Vault gerektirir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Data Factory'nizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/adf-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure HDInsight kümelerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/hdi.cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Azure HDInsight kümeleri bekleyen verileri şifrelemek için konakta şifreleme kullanmalıdır | Konakta şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerini yerine getirmek için verilerinizin korunmasına ve korunmasına yardımcı olur. Konakta şifrelemeyi etkinleştirdiğinizde, VM ana bilgisayarında depolanan veriler bekleme durumunda şifrelenir ve Depolama hizmetine akışlar şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Machine Learning çalışma alanları müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/azureml-workspaces-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmelidir | Müşteri tarafından yönetilen anahtar şifrelemesi ile Azure İzleyici günlükleri kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak mevzuat uyumluluğunu karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stream Analytics işleri verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Stream Analytics işlerinizin meta verilerini ve özel veri varlıklarını depolama hesabınızda güvenli bir şekilde depolamak istediğinizde müşteri tarafından yönetilen anahtarları kullanın. Bu, Stream Analytics verilerinizin şifrelenme şekli üzerinde tam denetim sağlar. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Synapse çalışma alanları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Azure Synapse çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Bot Hizmeti müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Azure Bot Hizmeti, verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini karşılamak için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Azure Bot Hizmeti şifrelemesi hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Kubernetes Service kümelerindeki hem işletim sistemleri hem de veri diskleri müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerinin şifrelenmesi, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Kayıt defterlerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/acr/CMK adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.1.2 |
| Fiziksel anahtar yönetimi işlemi tanımlama | CMA_0115 - Fiziksel anahtar yönetimi işlemi tanımlama | El ile, Devre Dışı | 1.1.0 |
| Şifreleme kullanımını tanımlama | CMA_0120 - Şifreleme kullanımını tanımlama | El ile, Devre Dışı | 1.1.0 |
| Şifreleme anahtarı yönetimi için kuruluş gereksinimlerini tanımlama | CMA_0123 - Şifreleme anahtarı yönetimi için kuruluş gereksinimlerini tanımlama | El ile, Devre Dışı | 1.1.0 |
| Onay gereksinimlerini belirleme | CMA_0136 - Onay gereksinimlerini belirleme | El ile, Devre Dışı | 1.1.0 |
| Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Event Hubs, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Event Hub'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak tanır. Event Hub'ın yalnızca ayrılmış kümelerdeki ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| HPC Önbelleği hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Devre Dışı, Reddet | 2.0.0 |
| Ortak anahtar sertifikaları verme | CMA_0347 - Ortak anahtar sertifikaları verme | El ile, Devre Dışı | 1.1.0 |
| Logic Apps Tümleştirme Hizmeti Ortamı, müşteri tarafından yönetilen anahtarlarla şifrelenmelidir | Müşteri tarafından yönetilen anahtarları kullanarak Logic Apps verilerinin geri kalanında şifrelemeyi yönetmek için Tümleştirme Hizmeti Ortamı'na dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Simetrik şifreleme anahtarlarını yönetme | CMA_0367 - Simetrik şifreleme anahtarlarını yönetme | El ile, Devre Dışı | 1.1.0 |
| Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla çift şifrelenmelidir | Belirli bir şifreleme algoritması, uygulama veya anahtarın tehlikeye girme riskiyle ilgilenen yüksek güvenlik duyarlı müşteriler, platform tarafından yönetilen şifreleme anahtarlarını kullanarak altyapı katmanında farklı bir şifreleme algoritması/modu kullanarak ek şifreleme katmanını tercih edebilir. Çift şifreleme kullanmak için disk şifreleme kümeleri gereklidir. https://aka.ms/disks-doubleEncryption adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| MySQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | MySQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| İşletim sistemi ve veri diskleri müşteri tarafından yönetilen bir anahtarla şifrelenmelidir | Yönetilen disklerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen platform tarafından yönetilen anahtarlarla şifrelenir, ancak genel olarak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar gerekir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. https://aka.ms/disks-cmk adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
| PostgreSQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | PostgreSQL sunucularınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler bekleyen hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğu standartlarını karşılamak için gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure Key Vault anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. | AuditIfNotExists, Devre Dışı | 1.0.4 |
| Özel anahtarlara erişimi kısıtlama | CMA_0445 - Özel anahtarlara erişimi kısıtlama | El ile, Devre Dışı | 1.1.0 |
| Azure İzleyici'de kaydedilen sorgular, günlük şifrelemesi için müşteri depolama hesabına kaydedilmelidir | Depolama hesabı şifrelemesi ile kaydedilen sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlayın. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve Azure İzleyici'de kayıtlı sorgularınıza erişim üzerinde daha fazla denetim sağlamak için gereklidir. Yukarıdakilerle ilgili diğer ayrıntılar için bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanmalıdır | Azure Service Bus, bekleyen verileri Microsoft tarafından yönetilen anahtarlarla (varsayılan) veya müşteri tarafından yönetilen anahtarlarla şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Service Bus'ın ad alanınızdaki verileri şifrelemek için kullanacağı anahtarlara erişimi atamanızı, döndürmenizi, devre dışı bırakmanızı ve iptal etmenizi sağlar. Service Bus'ın yalnızca premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. | Denetim, Devre Dışı | 1.0.0 |
| SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesabı şifreleme kapsamları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır | Depolama hesabı şifreleme kapsamlarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve sahip olduğunuz bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim dahil olmak üzere önemli yaşam döngüsü için tam denetime ve sorumluluğa sahipsiniz. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için bkz https://aka.ms/encryption-scopes-overview. . | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır | Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. | Denetim, Devre Dışı | 1.0.3 |
CUI'nin gizliliğini korumak için kullanıldığında FIPS ile doğrulanmış şifreleme kullanın.
Kimlik: NIST SP 800-171 R2 3.13.11 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Şifreleme kullanımını tanımlama | CMA_0120 - Şifreleme kullanımını tanımlama | El ile, Devre Dışı | 1.1.0 |
İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama ve cihazda bulunan kullanıcılara kullanımda olan cihazların göstergesini sağlama
Kimlik: NIST SP 800-171 R2 3.13.12 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İşbirliğine dayalı bilgi işlem cihazlarının kullanımını açıkça bildirme | CMA_C1649 - İşbirliğine dayalı bilgi işlem cihazlarının kullanımını açıkça bildirme | El ile, Devre Dışı | 1.1.1 |
| İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama | CMA_C1648 - İşbirliğine dayalı bilgi işlem cihazlarının uzaktan etkinleştirilmesini yasaklama | El ile, Devre Dışı | 1.1.0 |
Mobil kodun kullanımını denetleme ve izleme.
Kimlik: NIST SP 800-171 R2 3.13.13 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Mobil kod teknolojilerinin kullanımını yetkilendirme, izleme ve denetleme | CMA_C1653 - Mobil kod teknolojilerinin kullanımını yetkilendirme, izleme ve denetleme | El ile, Devre Dışı | 1.1.0 |
| Kabul edilebilir ve kabul edilemez mobil kod teknolojilerini tanımlama | CMA_C1651 - Kabul edilebilir ve kabul edilemez mobil kod teknolojilerini tanımlama | El ile, Devre Dışı | 1.1.0 |
| Mobil kod teknolojileri için kullanım kısıtlamaları oluşturma | CMA_C1652 - Mobil kod teknolojileri için kullanım kısıtlamaları oluşturma | El ile, Devre Dışı | 1.1.0 |
İnternet Üzerinden Ses Protokolü (VoIP) teknolojilerinin kullanımını denetleme ve izleme.
Kimlik: NIST SP 800-171 R2 3.13.14 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Voip'i yetkilendirme, izleme ve denetleme | CMA_0025 - Voip'i yetkilendirme, izleme ve denetleme | El ile, Devre Dışı | 1.1.0 |
| Voip kullanım kısıtlamaları oluşturma | CMA_0280 - Voip kullanım kısıtlamaları oluşturma | El ile, Devre Dışı | 1.1.0 |
İletişim oturumlarının orijinalliğini koruyun.
Kimlik: NIST SP 800-171 R2 3.13.15 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma | CMA_0073 - dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma | El ile, Devre Dışı | 1.1.0 |
| Rastgele benzersiz oturum tanımlayıcılarını zorunlu kılma | CMA_0247 - Rastgele benzersiz oturum tanımlayıcılarını zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
Bekleyen CUI'nin gizliliğini koruyun.
Kimlik: NIST SP 800-171 R2 3.13.16 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service Ortamı iç şifreleme etkinleştirilmelidir | InternalEncryption değeri true olarak ayarlandığında ön uçlar ile bir App Service Ortamı içindeki çalışanlar arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği şifrelenir. Daha fazla bilgi edinmek için bkz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. . | Denetim, Devre Dışı | 1.0.1 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure Data Box işleri, cihazdaki bekleyen veriler için çift şifrelemeyi etkinleştirmelidir | Cihazdaki bekleyen veriler için ikinci bir yazılım tabanlı şifreleme katmanını etkinleştirin. Cihaz bekleyen veriler için Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunmaktadır. Bu seçenek ikinci bir veri şifreleme katmanı ekler. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure İzleyici Günlükleri kümeleri altyapı şifrelemesi etkin (çift şifreleme) ile oluşturulmalıdır | Güvenli veri şifrelemesinin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için Azure İzleyici ayrılmış kümesini kullanın. Bu seçenek, bölgede desteklendiğinde varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. . | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Stack Edge cihazları çift şifreleme kullanmalıdır | Cihazın bekleyen verilerinin güvenliğini sağlamak için çift şifrelendiğinden, verilere erişimin denetlendiğinden ve cihaz devre dışı bırakıldıktan sonra verilerin veri disklerinden güvenli bir şekilde silindiğinden emin olun. Çift şifreleme, iki şifreleme katmanının kullanılmasıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Bir Stack Edge cihazı için güvenlik genel bakış belgelerinde daha fazla bilgi edinin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 1.1.0 |
| Azure Veri Gezgini'de disk şifreleme etkinleştirilmelidir | Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Azure Veri Gezgini'da çift şifreleme etkinleştirilmelidir | Çift şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Veri sızıntısı yönetim yordamı oluşturma | CMA_0255 - Veri sızıntısı yönetim yordamı oluşturma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | MySQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirerek verilerin güvenli olduğundan daha yüksek düzeyde emin olun. Altyapı şifrelemesi etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesi etkinleştirilmelidir | verilerin güvenli olduğundan daha yüksek düzeyde güvenceye sahip olmak için PostgreSQL için Azure Veritabanı sunucuları için altyapı şifrelemesini etkinleştirin. Altyapı şifreleme etkinleştirildiğinde bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Şifreleme kullanarak aktarımdaki verileri koruma | CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma | El ile, Devre Dışı | 1.1.0 |
| Özel bilgileri koruma | CMA_0409 - Özel bilgileri koruma | El ile, Devre Dışı | 1.1.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesaplarında altyapı şifrelemesi olmalıdır | Verilerin güvenli olduğundan daha yüksek düzeyde güvence sağlamak için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabındaki veriler iki kez şifrelenir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Kubernetes Service kümelerindeki aracı düğümü havuzları için geçici diskler ve önbellek konakta şifrelenmelidir | Veri güvenliğini geliştirmek için Azure Kubernetes Service düğümlerinizin sanal makine (VM) ana bilgisayarında depolanan veriler bekleme sırasında şifrelenmelidir. Bu, birçok mevzuat ve sektör uyumluluk standardı için yaygın bir gereksinimdir. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makinelerde ve sanal makine ölçek kümelerinde konakta şifreleme etkinleştirilmelidir | Sanal makineniz ve sanal makine ölçek kümesi verileriniz için uçtan uca şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için bekleyen şifrelemeyi etkinleştirir. Konakta şifreleme etkinleştirildiğinde geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak bekleyen müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla şifrelenir. https://aka.ms/vm-hbe adresinden daha fazla bilgi edinin. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Kurumsal sistemler içinde etkili bilgi güvenliğini teşvik eden mimari tasarımlar, yazılım geliştirme teknikleri ve sistem mühendisliği ilkelerini kullanın.
Kimlik: NIST SP 800-171 R2 3.13.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Kullanıcı işlevselliğini sistem yönetimi işlevselliğinden ayırın.
Kimlik: NIST SP 800-171 R2 3.13.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uzaktan erişimi yetkilendirme | CMA_0024 - Uzaktan erişimi yetkilendirme | El ile, Devre Dışı | 1.1.0 |
| Kullanıcı ve bilgi sistemi yönetimi işlevselliğini ayırma | CMA_0493 - Kullanıcı ve bilgi sistemi yönetimi işlevselliğini ayırma | El ile, Devre Dışı | 1.1.0 |
| Yönetim görevleri için ayrılmış makineleri kullanma | CMA_0527 - Yönetim görevleri için ayrılmış makineleri kullanma | El ile, Devre Dışı | 1.1.0 |
İç ağlardan fiziksel veya mantıksal olarak ayrılmış, genel olarak erişilebilir sistem bileşenleri için alt ağlar uygulayın.
Kimlik: NIST SP 800-171 R2 3.13.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: Azure Bilişsel Arama hizmetleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/azure-cognitive-search/inbound-private-endpoints | Denetim, Devre Dışı | 1.0.1 kullanım dışı |
| [Kullanım dışı]: Bilişsel Hizmetler özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Bilişsel Hizmetler'e eşleyerek veri sızıntısı olasılığını azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://go.microsoft.com/fwlink/?linkid=2129800 | Denetim, Devre Dışı | 3.0.1 kullanım dışı |
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| API Management hizmetleri sanal ağ kullanmalıdır | Azure Sanal Ağ dağıtımı gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz İnternet'e yönlendirilebilir olmayan bir ağa yerleştirmenize olanak tanır. Daha sonra bu ağlar, ağ ve/veya şirket içi arka uç hizmetlerinize erişim sağlayan çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir. Geliştirici portalı ve API ağ geçidi, İnternet'ten veya yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Uygulama Yapılandırması özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| FHIR için Azure API özel bağlantı kullanmalıdır | FHIR için Azure API'sinde en az bir onaylı özel uç nokta bağlantısı olmalıdır. Sanal ağdaki istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink. | Denetim, Devre Dışı | 1.0.0 |
| Redis için Azure Cache özel bağlantı kullanmalıdır | Özel uç noktalar, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redis için Azure Cache örneklerinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmeti özel bağlantıyı destekleyen bir SKU kullanmalıdır | desteklenen Azure Bilişsel Arama SKU'larıyla Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Arama hizmeti eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Data Factory özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory'ye eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/data-factory/data-factory-private-link | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Event Grid etki alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid etki alanınıza eşleyerek veri sızıntısı risklerine karşı da korunursunuz. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Event Grid konuları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Event Grid konunuza eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/privateendpoints. | Denetim, Devre Dışı | 1.0.2 |
| Azure Dosya Eşitleme özel bağlantı kullanmalıdır | Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'ten erişilebilen genel uç nokta yerine kuruluşunuzun ağının özel IP adresi alanından ele almanızı sağlar. Tek başına özel uç nokta oluşturmak genel uç noktayı devre dışı bırakmaz. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Key Vault'lar özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları anahtar kasasına eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/akvprivatelink | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link | Denetim, Devre Dışı | 1.0.0 |
| Azure Service Bus ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Service Bus ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure SignalR Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine Azure SignalR Hizmeti kaynağınıza eşleyerek veri sızıntısı risklerinizi azaltacaksınız. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/asrs/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Azure Synapse çalışma alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Synapse çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links | Denetim, Devre Dışı | 1.0.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Azure Web PubSub Hizmeti özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub Hizmetinize eşleyerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/awps/privatelink | Denetim, Devre Dışı | 1.0.0 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşleyerek veri sızıntısı risklerine karşı da korunacaksınız. Daha fazla bilgi için: https://aka.ms/acr/private-link. | Denetim, Devre Dışı | 1.0.1 |
| CosmosDB hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints | Denetim, Devre Dışı | 1.0.0 |
| Disk erişim kaynakları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları diskAccess'lere eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/disksprivatelinksdoc | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Event Hub ad alanları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Event Hub ad alanlarına eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| IoT Hub cihaz sağlama hizmeti örnekleri özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmetine eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://aka.ms/iotdpsvnet | Denetim, Devre Dışı | 1.0.0 |
| Sanal makinenizde IP İletme devre dışı bırakılmalıdır | Sanal makinenin NIC'sinde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönlendirilen trafiği almasına olanak tanır. IP iletme nadiren gereklidir (örneğin, VM'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle bu durum ağ güvenlik ekibi tarafından gözden geçirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir | Özel uç nokta bağlantıları, Azure SQL Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. | Denetim, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MariaDB için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| MySQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, MySQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir | Özel uç nokta bağlantıları, PostgreSQL için Azure Veritabanı özel bağlantıyı etkinleştirerek güvenli iletişimi zorunlu tutar. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel uç nokta bağlantısı yapılandırın. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Depolama hesapları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| VM Görüntü Oluşturucu şablonları özel bağlantı kullanmalıdır | Azure Özel Bağlantı, sanal ağınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel Bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleyerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için bkz. . https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet | Denetim, Devre Dışı, Reddet | 1.1.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Ağ iletişim trafiğini varsayılan olarak reddedin ve özel duruma göre ağ iletişim trafiğine izin verin (örneğin, tümünü reddet, özel duruma göre izin ver).
Kimlik: NIST SP 800-171 R2 3.13.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Depolama hesabı genel erişimine izin verilmemelidir | Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 3.1.0-önizleme |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Yetkili IP aralıkları Kubernetes Services üzerinde tanımlanmalıdır | API'ye yalnızca belirli aralıklardaki IP adreslerine erişim vererek Kubernetes Service Management API'sine erişimi kısıtlayın. Kümeye yalnızca izin verilen ağlardan uygulamaların erişebildiğinden emin olmak için erişimi yetkili IP aralıklarıyla sınırlamak önerilir. | Denetim, Devre Dışı | 2.0.1 |
| Azure AI Services kaynakları ağ erişimini kısıtlamalıdır | Ağ erişimini kısıtlayarak yalnızca izin verilen ağların hizmete erişebildiğinden emin olabilirsiniz. Bu, yalnızca izin verilen ağlardan gelen uygulamaların Azure AI hizmetine erişebilmesi için ağ kuralları yapılandırılarak gerçekleştirilebilir. | Denetim, Reddetme, Devre Dışı | 3.2.0 |
| Azure Bilişsel Arama hizmetleri genel ağ erişimini devre dışı bırakmalıdır | Genel ağ erişimini devre dışı bırakmak, Azure Bilişsel Arama hizmetinizin genel İnternet'te kullanıma sunulmamasını sağlayarak güvenliği artırır. Özel uç noktalar oluşturmak, Arama hizmeti maruz kalmanızı sınırlayabilir. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Azure Cosmos DB hesaplarında güvenlik duvarı kuralları olmalıdır | Yetkisiz kaynaklardan gelen trafiği önlemek için Azure Cosmos DB hesaplarınızda güvenlik duvarı kuralları tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralı olan hesaplar uyumlu kabul edilir. Genel erişimi devre dışı bırakma hesapları da uyumlu kabul edilir. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Azure Key Vault'ta güvenlik duvarı etkinleştirilmelidir | Anahtar kasasına varsayılan olarak genel IP'ler tarafından erişilmemesi için anahtar kasası güvenlik duvarını etkinleştirin. İsteğe bağlı olarak, bu ağlara erişimi sınırlandırmak için belirli IP aralıklarını yapılandırabilirsiniz. Daha fazla bilgi için: https://docs.microsoft.com/azure/key-vault/general/network-security | Denetim, Reddetme, Devre Dışı | 3.2.1 |
| Azure Front Door giriş noktaları için Azure Web Uygulaması Güvenlik Duvarı etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Kapsayıcı kayıt defterleri sınırsız ağ erişimine izin vermemelidir | Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağdaki konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlerden korumak için yalnızca belirli özel uç noktalardan, genel IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde yapılandırılmış ağ kuralları yoksa, iyi durumda olmayan kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgiyi burada bulabilirsiniz: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network ve https://aka.ms/acr/vnet. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sanal makinelerinizde yönetim bağlantı noktaları kapatılmalıdır | Açık uzaktan yönetim bağlantı noktaları VM'nizi İnternet tabanlı saldırılardan kaynaklanan yüksek risk düzeyine maruz geçiriyor. Bu saldırılar, makineye yönetici erişimi elde etmek için kimlik bilgilerini deneme yanılma girişiminde bulunur. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır | Ağ güvenlik gruplarıyla (NSG) erişimi kısıtlayarak İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlerden koruyun. NSG'ler ile trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır | Genel ağ erişim özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olarak güvenliği artırır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MariaDB için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve MySQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki herhangi bir genel adres alanından erişimi kesinlikle devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır | Güvenliği artırmak ve PostgreSQL için Azure Veritabanı yalnızca özel bir uç noktadan erişilebildiğinden emin olmak için genel ağ erişim özelliğini devre dışı bırakın. Bu yapılandırma, Azure IP aralığının dışındaki tüm genel adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açma bilgilerini reddeder. | Denetim, Reddetme, Devre Dışı | 2.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
| Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır | IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. | Denetim, Reddetme, Devre Dışı | 1.0.1 |
| Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmelidir | Ağ Güvenlik Grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlerden koruyun. NSG'ler, alt ağınıza yönelik ağ trafiğine izin veren veya reddeden Erişim Denetim Listesi (ACL) kurallarının listesini içerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmelidir | Gelen trafiğin ek denetimi için genel kullanıma yönelik web uygulamalarının önüne Azure Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın SQL eklemeleri, Siteler Arası Betik Oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın açıklardan ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Ayrıca web uygulamalarınıza erişimi ülkelere, IP adresi aralıklarına ve diğer http(ler) parametrelerine göre özel kurallar aracılığıyla kısıtlayabilirsiniz. | Denetim, Reddetme, Devre Dışı | 2.0.0 |
Uzak cihazların aynı anda kuruluş sistemleriyle uzak olmayan bağlantılar kurmasını ve dış ağlardaki kaynaklara (bölünmüş tünel gibi) başka bir bağlantı üzerinden iletişim kurmasını önleyin.
Kimlik: NIST SP 800-171 R2 3.13.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Uzak cihazlar için bölünmüş tüneli önleme | CMA_C1632 - Uzak cihazlar için bölünmüş tünel oluşturma işlemini engelleme | El ile, Devre Dışı | 1.1.0 |
CuI'nin iletim sırasında yetkisiz olarak açığa çıkmasını önlemek için alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece şifreleme mekanizmaları uygulayın.
Kimlik: NIST SP 800-171 R2 3.13.8 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| App Service uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Azure HDInsight kümeleri, Azure HDInsight küme düğümleri arasındaki iletişimi şifrelemek için aktarım sırasında şifreleme kullanmalıdır | Azure HDInsight küme düğümleri arasında iletim sırasında verilerle oynanabilir. Aktarımda şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını giderir. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma | CMA_0073 - dijital sertifikaları denetlemek için iş istasyonlarını yapılandırma | El ile, Devre Dışı | 1.1.0 |
| MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir | PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. | Denetim, Devre Dışı | 1.0.1 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| İşlev uygulamaları yalnızca FTPS gerektirmelidir | Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamaları en son TLS sürümünü kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmuştur ve Azure Arc özellikli Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için https://aka.ms/kubepolicydoc | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Şifreleme kullanarak aktarımdaki verileri koruma | CMA_0403 - Şifreleme kullanarak aktarımdaki verileri koruma | El ile, Devre Dışı | 1.1.0 |
| Şifreleme ile parolaları koruma | CMA_0408 - Şifreleme ile parolaları koruma | El ile, Devre Dışı | 1.1.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
Oturumların sonunda veya tanımlı bir etkinlik dışı kalma süresinden sonra iletişim oturumlarıyla ilişkili ağ bağlantılarını sonlandırın.
Kimlik: NIST SP 800-171 R2 3.13.9 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kullanıcı oturumlarını yeniden kimlik doğrulama veya sonlandırma | CMA_0421 - Kullanıcı oturumlarını yeniden doğrulama veya sonlandırma | El ile, Devre Dışı | 1.1.0 |
Sistem ve Bilgi Bütünlüğü
Sistem kusurlarını zamanında belirleyin, raporlayın ve düzeltin.
Kimlik: NIST SP 800-171 R2 3.14.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır | Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Kusur düzeltmeyi yapılandırma yönetimine dahil etme | CMA_C1671 - Kusur düzeltmeyi yapılandırma yönetimine dahil etme | El ile, Devre Dışı | 1.1.0 |
| Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltilmelidir | Geçerli Kubernetes sürümünüzdeki bilinen güvenlik açıklarına karşı koruma sağlamak için Kubernetes hizmet kümenizi daha sonraki bir Kubernetes sürümüne yükseltin. Kubernetes sürüm 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde CVE-2019-9946 güvenlik açığına düzeltme eki eklendi | Denetim, Devre Dışı | 1.0.2 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik açığı taramaları gerçekleştirme | CMA_0393 - Güvenlik açığı taramaları gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Bilgi sistemi kusurlarını düzeltme | CMA_0427 - Bilgi sistemi kusurlarını düzeltme | El ile, Devre Dışı | 1.1.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir | Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
Kuruluş sistemleri içinde belirlenen konumlarda kötü amaçlı kodlara karşı koruma sağlayın.
Kimlik: NIST SP 800-171 R2 3.14.2 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme | El ile, Devre Dışı | 1.1.0 |
| Ağ geçitlerini yönetme | CMA_0363 - Ağ geçitlerini yönetme | El ile, Devre Dışı | 1.1.0 |
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır | Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır | Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Tehditler üzerinde eğilim analizi gerçekleştirme | CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik açığı taramaları gerçekleştirme | CMA_0393 - Güvenlik açığı taramaları gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Kötü amaçlı yazılım algılamaları raporunu haftalık gözden geçirme | CMA_0475 - Kötü amaçlı yazılım algılamaları raporunu haftalık olarak gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Tehdit koruması durumunu haftalık olarak gözden geçirin | CMA_0479 - Tehdit koruması durumunu haftalık olarak gözden geçirin | El ile, Devre Dışı | 1.1.0 |
| Virüsten koruma tanımlarını güncelleştirme | CMA_0517 - Virüsten koruma tanımlarını güncelleştirme | El ile, Devre Dışı | 1.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
Sistem güvenlik uyarılarını ve önerilerini izleyin ve yanıt olarak eyleme geçin.
Kimlik: NIST SP 800-171 R2 3.14.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Güvenlik uyarılarını personele dağıtma | CMA_C1705 - Güvenlik uyarılarını personele dağıtma | El ile, Devre Dışı | 1.1.0 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Tehdit analizi programı oluşturma | CMA_0260 - Tehdit bilgileri programı oluşturma | El ile, Devre Dışı | 1.1.0 |
| Güvenlik yönergelerini uygulama | CMA_C1706 - Güvenlik yönergeleri uygulama | El ile, Devre Dışı | 1.1.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Yeni sürümler kullanılabilir olduğunda kötü amaçlı kod koruma mekanizmalarını güncelleştirin.
Kimlik: NIST SP 800-171 R2 3.14.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme | El ile, Devre Dışı | 1.1.0 |
| Ağ geçitlerini yönetme | CMA_0363 - Ağ geçitlerini yönetme | El ile, Devre Dışı | 1.1.0 |
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır | Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır | Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Tehditler üzerinde eğilim analizi gerçekleştirme | CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik açığı taramaları gerçekleştirme | CMA_0393 - Güvenlik açığı taramaları gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Kötü amaçlı yazılım algılamaları raporunu haftalık gözden geçirme | CMA_0475 - Kötü amaçlı yazılım algılamaları raporunu haftalık olarak gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Virüsten koruma tanımlarını güncelleştirme | CMA_0517 - Virüsten koruma tanımlarını güncelleştirme | El ile, Devre Dışı | 1.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
Dosyalar indirilir, açılır veya yürütülürken kuruluş sistemlerinde düzenli aralıklarla taramalar ve dış kaynaklardan dosyalarda gerçek zamanlı taramalar gerçekleştirin.
Kimlik: NIST SP 800-171 R2 3.14.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure için Microsoft Kötü Amaçlı Yazılımdan Koruma, koruma imzalarını otomatik olarak güncelleştirecek şekilde yapılandırılmalıdır | Bu ilke, Microsoft Kötü Amaçlı Yazılımdan Koruma imzalarının otomatik olarak güncelleştirilmesiyle yapılandırılmamış tüm Windows sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Microsoft IaaSAntimalware uzantısı Windows sunucularına dağıtılmalıdır | Bu ilke, Microsoft IaaSAntimalware uzantısı dağıtılmadan tüm Windows sunucu VM'lerini denetler. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Makinelerinizde Windows Defender Exploit Guard etkinleştirilmelidir | Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesine olanak tanırken, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir (yalnızca Windows). | AuditIfNotExists, Devre Dışı | 2.0.0 |
Saldırıları ve olası saldırıların göstergelerini algılamak için gelen ve giden iletişim trafiği dahil olmak üzere kuruluş sistemlerini izleyin.
Kimlik: NIST SP 800-171 R2 3.14.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Yetkilendirilmemiş veya onaylanmamış ağ hizmetlerini algılama | CMA_C1700 - Yetkilendirilmemiş veya onaylanmamış ağ hizmetlerini algılama | El ile, Devre Dışı | 1.1.0 |
| Güvenliğin aşılmasına ilişkin göstergeleri keşfedin | CMA_C1702 - Tehlikeye ilişkin göstergeleri keşfedin | El ile, Devre Dışı | 1.1.0 |
| Belge güvenlik işlemleri | CMA_0202 - Belge güvenlik işlemleri | El ile, Devre Dışı | 1.1.0 |
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tehditler üzerinde eğilim analizi gerçekleştirme | CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Uç nokta güvenlik çözümü için algılayıcıları açma | CMA_0514 - Uç nokta güvenlik çözümü için algılayıcıları açma | El ile, Devre Dışı | 1.1.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kuruluş sistemlerinin yetkisiz kullanımını belirleme.
Kimlik: NIST SP 800-171 R2 3.14.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Tüm İnternet trafiği dağıtılan Azure Güvenlik Duvarı aracılığıyla yönlendirilmelidir | Azure Güvenlik Merkezi bazı alt ağlarınızın yeni nesil bir güvenlik duvarıyla korunmadığını belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarıyla alt ağlarınıza erişimi kısıtlayarak olası tehditlerden koruyun | AuditIfNotExists, Devre Dışı | 3.0.0-önizleme |
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tehditler üzerinde eğilim analizi gerçekleştirme | CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Farkındalık ve Eğitim
Kuruluş sistemlerinin yöneticilerinin, sistem yöneticilerinin ve kullanıcılarının etkinlikleriyle ilişkili güvenlik risklerinin ve bu sistemlerin güvenliğiyle ilgili geçerli ilkelerin, standartların ve yordamların farkında olduğundan emin olun.
Kimlik: NIST SP 800-171 R2 3.2.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Düzenli güvenlik farkındalığı eğitimi sağlama | CMA_C1091 - Düzenli güvenlik farkındalığı eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
| Yeni kullanıcılar için güvenlik eğitimi sağlama | CMA_0419 - Yeni kullanıcılar için güvenlik eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
Personelin, kendilerine atanan bilgi güvenliğiyle ilgili görev ve sorumluluklarını yerine getirmek için eğitildiğinden emin olun.
Kimlik: NIST SP 800-171 R2 3.2.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Düzenli rol tabanlı güvenlik eğitimi sağlama | CMA_C1095 - Düzenli rol tabanlı güvenlik eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
| Erişim sağlamadan önce güvenlik eğitimi sağlama | CMA_0418 - Erişim sağlamadan önce güvenlik eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
İçerideki tehdidin olası göstergelerini tanıma ve raporlama konusunda güvenlik farkındalığı eğitimi sağlayın.
Kimlik: NIST SP 800-171 R2 3.2.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Insider tehdit programı uygulama | CMA_C1751 - Insider tehdit programı uygulama | El ile, Devre Dışı | 1.1.0 |
| İç tehditler için güvenlik farkındalığı eğitimi sağlama | CMA_0417 - İç tehditler için güvenlik farkındalığı eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
Denetim ve Sorumluluk
Sistem denetim günlüklerini ve kayıtlarını, yasa dışı veya yetkisiz sistem etkinliğinin izlenmesini, analizini, araştırmasını ve raporlamasını sağlamak için gereken ölçüde oluşturun ve koruyun
Kimlik: NIST SP 800-171 R2 3.3.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| Tanımlanan saklama sürelerine uyma | CMA_0004 - Tanımlanan saklama sürelerine bağlı kalma | El ile, Devre Dışı | 1.1.0 |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure Denetim özelliklerini yapılandırma | CMA_C1108 - Azure Denetim özelliklerini yapılandırma | El ile, Devre Dışı | 1.1.1 |
| Denetim kayıtlarını ilişkilendirme | CMA_0087 - Denetim kayıtlarını ilişkilendirme | El ile, Devre Dışı | 1.1.0 |
| Denetlenebilir olayları belirleme | CMA_0137 - Denetlenebilir olayları belirleme | El ile, Devre Dışı | 1.1.0 |
| Denetim gözden geçirme ve raporlama gereksinimleri oluşturma | CMA_0277 - Denetim gözden geçirme ve raporlama gereksinimleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Denetim gözden geçirme, analiz ve raporlamayı tümleştirme | CMA_0339 - Denetim gözden geçirme, analiz ve raporlamayı tümleştirme | El ile, Devre Dışı | 1.1.0 |
| Bulut uygulaması güvenliğini bir siem ile tümleştirme | CMA_0340 - Bulut uygulaması güvenliğini bir siem ile tümleştirme | El ile, Devre Dışı | 1.1.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| IoT Hub'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Güvenlik ilkelerini ve yordamlarını koruma | CMA_0454 - Güvenlik ilkelerini ve yordamlarını koruma | El ile, Devre Dışı | 1.1.0 |
| Sonlandırılan kullanıcı verilerini saklama | CMA_0455 - Sonlandırılan kullanıcı verilerini saklama | El ile, Devre Dışı | 1.1.0 |
| Hesap sağlama günlüklerini gözden geçirme | CMA_0460 - Hesap sağlama günlüklerini gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Yönetici atamalarını haftalık olarak gözden geçirme | CMA_0461 - Yönetici atamalarını haftalık olarak gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Denetim verilerini gözden geçirme | CMA_0466 - Denetim verilerini gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Bulut kimliği raporuna genel bakış gözden geçirme | CMA_0468 - Bulut kimliği raporuna genel bakış gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Denetimli klasör erişim olaylarını gözden geçirme | CMA_0471 - Denetimli klasör erişim olaylarını gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Dosya ve klasör etkinliğini gözden geçirme | CMA_0473 - Dosya ve klasör etkinliğini gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Rol grubu değişikliklerini haftalık olarak gözden geçirme | CMA_0476 - Rol grubu değişikliklerini haftalık olarak gözden geçirme | El ile, Devre Dışı | 1.1.0 |
| Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Log Analytics uzantısı Sanal Makine Ölçek Kümeleri | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makineler belirtilen çalışma alanına bağlanmalıdır | İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydedilmiyorsa sanal makineleri uyumsuz olarak raporlar. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Tek tek sistem kullanıcılarının eylemlerinin bu kullanıcılara benzersiz bir şekilde izlenebildiğinden emin olun, böylece eylemlerinden sorumlu tutulabilir.
Kimlik: NIST SP 800-171 R2 3.3.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Önizleme]: Azure Arc özellikli Kubernetes kümelerinde Bulut için Microsoft Defender uzantısı yüklü olmalıdır | Azure Arc için Bulut için Microsoft Defender uzantısı, Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki tüm düğümlerden veri toplar ve daha fazla analiz için buluttaki Kubernetes için Azure Defender arka ucuna gönderir. içinde daha fazla https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arcbilgi edinin. | AuditIfNotExists, Devre Dışı | 6.0.0-önizleme |
| [Önizleme]: Log Analytics uzantısı Linux Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Linux Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Log Analytics uzantısı Windows Azure Arc makinelerinize yüklenmelidir | Bu ilke, Log Analytics uzantısı yüklü değilse Windows Azure Arc makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Linux sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| [Önizleme]: Ağ trafiği veri toplama aracısı Windows sanal makinelerine yüklenmelidir | Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Bağımlılık aracısını kullanır. | AuditIfNotExists, Devre Dışı | 1.0.2-önizleme |
| App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir | Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. | AuditIfNotExists, Devre Dışı | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Denetlenebilir olayları belirleme | CMA_0137 - Denetlenebilir olayları belirleme | El ile, Devre Dışı | 1.1.0 |
| Elektronik imza ve sertifika gereksinimlerini belirleme | CMA_0271 - Elektronik imza ve sertifika gereksinimleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Konuk Yapılandırma uzantısı makinelerinize yüklenmelidir | Makinenizin konuk içi ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izlediği konuk içi ayarlar işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya iletişim durumunu ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içi ilkeler kullanılabilir. https://aka.ms/gcpol adresinden daha fazla bilgi edinin. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Ağ İzleyicisi etkinleştirilmelidir | Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Olay Hub'ında kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| IoT Hub'daki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Key Vault'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Logic Apps'teki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.1.0 |
| Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Service Bus'taki kaynak günlükleri etkinleştirilmelidir | Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında | AuditIfNotExists, Devre Dışı | 5.0.0 |
| Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır | Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Log Analytics uzantısı Sanal Makine Ölçek Kümeleri | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux Sanal Makine Ölçek Kümeleri denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makineler belirtilen çalışma alanına bağlanmalıdır | İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydedilmiyorsa sanal makineleri uyumsuz olarak raporlar. | AuditIfNotExists, Devre Dışı | 1.1.0 |
| Sanal makinelerde Log Analytics uzantısı yüklü olmalıdır | Bu ilke, Log Analytics uzantısı yüklü değilse tüm Windows/Linux sanal makinelerini denetler. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır | Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol | AuditIfNotExists, Devre Dışı | 1.0.1 |
Günlüğe kaydedilen olayları gözden geçirin ve güncelleştirin.
Kimlik: NIST SP 800-171 R2 3.3.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| AU-02'de tanımlanan olayları gözden geçirme ve güncelleştirme | CMA_C1106 - AU-02'de tanımlanan olayları gözden geçirme ve güncelleştirme | El ile, Devre Dışı | 1.1.0 |
Denetim günlüğü işlemi hatası durumunda uyarı verin.
Kimlik: NIST SP 800-171 R2 3.3.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Denetim işleme etkinliklerini yönetme ve izleme | CMA_0289 - Denetim işleme etkinliklerini yönetme ve izleme | El ile, Devre Dışı | 1.1.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Denetim olayı hataları için gerçek zamanlı uyarılar sağlama | CMA_C1114 - Denetim olayı hataları için gerçek zamanlı uyarılar sağlama | El ile, Devre Dışı | 1.1.0 |
Yasal olmayan, yetkisiz, şüpheli veya olağan dışı etkinlik göstergelerini araştırmak ve yanıtlamak için denetim kaydı gözden geçirme, analiz ve raporlama süreçlerini ilişkilendirin.
Kimlik: NIST SP 800-171 R2 3.3.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service için Azure Defender etkinleştirilmelidir | App Service için Azure Defender, yaygın web uygulaması saldırılarını izlemek için bulut ölçeğinden ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüklerden yararlanıyor. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Key Vault için Azure Defender etkinleştirilmelidir | Key Vault için Azure Defender, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayarak ek bir koruma ve güvenlik zekası katmanı sağlar. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Resource Manager için Azure Defender etkinleştirilmelidir | Resource Manager için Azure Defender, kuruluşunuzdaki kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlikler hakkında sizi uyarır. Adresinde Resource Manager https://aka.ms/defender-for-resource-manager için Azure Defender'ın özellikleri hakkında daha fazla bilgi edinin. Bu Azure Defender planının etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
| Makinelerdeki SQL sunucuları için Azure Defender etkinleştirilmelidir | SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Denetim kayıtlarını ilişkilendirme | CMA_0087 - Denetim kayıtlarını ilişkilendirme | El ile, Devre Dışı | 1.1.0 |
| Denetim kaydı analizini tümleştirme | CMA_C1120 - Denetim kaydı analizini tümleştirme | El ile, Devre Dışı | 1.1.0 |
| Bulut uygulaması güvenliğini bir siem ile tümleştirme | CMA_0340 - Bulut uygulaması güvenliğini bir siem ile tümleştirme | El ile, Devre Dışı | 1.1.0 |
| Kapsayıcılar için Microsoft Defender etkinleştirilmelidir | Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Depolama için Microsoft Defender etkinleştirilmelidir | Depolama için Microsoft Defender, depolama hesaplarınıza yönelik olası tehditleri algılar. Verileriniz ve iş yükünüz üzerindeki üç önemli etkiyi önlemeye yardımcı olur: kötü amaçlı dosya yüklemeleri, hassas veri sızdırma ve veri bozulması. Yeni Depolama için Defender planı Kötü Amaçlı Yazılım Tarama ve Hassas Veri Tehdit Algılama'yı içerir. Bu plan ayrıca kapsam ve maliyetler üzerinde denetim için tahmin edilebilir bir fiyatlandırma yapısı (depolama hesabı başına) sağlar. | AuditIfNotExists, Devre Dışı | 1.0.0 |
İsteğe bağlı analiz ve raporlamayı desteklemek için denetim kaydı azaltma ve rapor oluşturma sağlayın.
Kimlik: NIST SP 800-171 R2 3.3.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Ayrıcalıklı işlevleri denetleme | CMA_0019 - Ayrıcalıklı işlevleri denetleme | El ile, Devre Dışı | 1.1.0 |
| Kullanıcı hesabı durumunu denetleme | CMA_0020 - Kullanıcı hesabı durumunu denetleme | El ile, Devre Dışı | 1.1.0 |
| Denetim kayıtlarını sistem genelinde denetime derleme | CMA_C1140 - Denetim kayıtlarını sistem genelinde denetimde derleme | El ile, Devre Dışı | 1.1.0 |
| Denetlenebilir olayları belirleme | CMA_0137 - Denetlenebilir olayları belirleme | El ile, Devre Dışı | 1.1.0 |
| Denetim gözden geçirme, analiz ve raporlama özelliği sağlama | CMA_C1124 - Denetim gözden geçirme, analiz ve raporlama özelliği sağlama | El ile, Devre Dışı | 1.1.0 |
| Müşteri tarafından denetlenen denetim kayıtlarını işleme özelliği sağlama | CMA_C1126 - Müşteri tarafından denetlenen denetim kayıtlarını işleme özelliği sağlama | El ile, Devre Dışı | 1.1.0 |
| Denetim verilerini gözden geçirme | CMA_0466 - Denetim verilerini gözden geçirme | El ile, Devre Dışı | 1.1.0 |
Denetim kayıtları için zaman damgaları oluşturmak üzere iç sistem saatlerini yetkili bir kaynakla karşılaştıran ve eşitleyen bir sistem özelliği sağlama
Kimlik: NIST SP 800-171 R2 3.3.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Denetim kayıtları için sistem saatlerini kullanma | CMA_0535 - Denetim kayıtları için sistem saatlerini kullanma | El ile, Devre Dışı | 1.1.0 |
Denetim bilgilerini ve denetim günlüğü araçlarını yetkisiz erişim, değişiklik ve silmeye karşı koruyun.
Kimlik: NIST SP 800-171 R2 3.3.8 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| çift veya ortak yetkilendirmeyi etkinleştirme | CMA_0226 - çift veya ortak yetkilendirmeyi etkinleştirme | El ile, Devre Dışı | 1.1.0 |
| Yedekleme ilkeleri ve yordamları oluşturma | CMA_0268 - Yedekleme ilkeleri ve yordamları oluşturma | El ile, Devre Dışı | 1.1.0 |
| Denetim sisteminin bütünlüğünü koruma | CMA_C1133 - Denetim sisteminin bütünlüğünü koruma | El ile, Devre Dışı | 1.1.0 |
| Denetim bilgilerini koruma | CMA_0401 - Denetim bilgilerini koruma | El ile, Devre Dışı | 1.1.0 |
Denetim günlüğü işlevselliğinin yönetimini ayrıcalıklı kullanıcıların bir alt kümesiyle sınırlayın.
Kimlik: NIST SP 800-171 R2 3.3.9 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Denetim bilgilerini koruma | CMA_0401 - Denetim bilgilerini koruma | El ile, Devre Dışı | 1.1.0 |
Yapılandırma Yönetimi
İlgili sistem geliştirme yaşam döngüleri boyunca kuruluş sistemlerinin (donanım, yazılım, üretici yazılımı ve belgeler dahil) temel yapılandırmalarını ve envanterlerini oluşturun ve koruyun.
Kimlik: NIST SP 800-171 R2 3.4.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. | Denetim, Devre Dışı | 3.1.0 kullanım dışı |
| App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| Uyumsuz cihazlar için eylemleri yapılandırma | CMA_0062 - Uyumsuz cihazlar için eylemleri yapılandırma | El ile, Devre Dışı | 1.1.0 |
| Veri envanteri oluşturma | CMA_0096 - Veri envanteri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Temel yapılandırmaları geliştirme ve koruma | CMA_0153 - Temel yapılandırmaları geliştirme ve koruma | El ile, Devre Dışı | 1.1.0 |
| Güvenlik yapılandırma ayarlarını zorunlu kılma | CMA_0249 - Güvenlik yapılandırma ayarlarını zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| Yapılandırma denetim panosu oluşturma | CMA_0254 - Yapılandırma denetim panosu oluşturma | El ile, Devre Dışı | 1.1.0 |
| Yapılandırma yönetim planı oluşturma ve belgele | CMA_0264 - Yapılandırma yönetimi planı oluşturma ve belgele | El ile, Devre Dışı | 1.1.0 |
| Varlık envanteri oluşturma ve sürdürme | CMA_0266 - Varlık envanteri oluşturma ve sürdürme | El ile, Devre Dışı | 1.1.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Otomatik yapılandırma yönetim aracı uygulama | CMA_0311 - Otomatik yapılandırma yönetim aracı uygulama | El ile, Devre Dışı | 1.1.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.3.0 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
| Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.2.0 |
| Kişisel verilerin işlenme kayıtlarını tutma | CMA_0353 - Kişisel verilerin işlenme kayıtlarını tutma | El ile, Devre Dışı | 1.1.0 |
| Temel yapılandırmaların önceki sürümlerini koruma | CMA_C1181 - Temel yapılandırmaların önceki sürümlerini koruma | El ile, Devre Dışı | 1.1.0 |
| Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Kurumsal sistemlerde kullanılan bilgi teknolojisi ürünleri için güvenlik yapılandırma ayarlarını oluşturun ve uygulayın.
Kimlik: NIST SP 800-171 R2 3.4.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. | Denetim, Devre Dışı | 3.1.0 kullanım dışı |
| App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| App Service uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi kümelerinizde yüklenip etkinleştirilmelidir | Kubernetes hizmeti (AKS) için Azure İlkesi Eklentisi, Açık İlke Aracısı (OPA) için bir erişim denetleyicisi web kancası olan Gatekeeper v3'i, kümelerinizde merkezi ve tutarlı bir şekilde büyük ölçekte zorlamalar ve korumalar uygulamak üzere genişletir. | Denetim, Devre Dışı | 1.0.2 |
| Güvenlik yapılandırma ayarlarını zorunlu kılma | CMA_0249 - Güvenlik yapılandırma ayarlarını zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| İşlev uygulamalarında her kaynağın uygulamalarınıza erişmesine izin vermek için CORS yapılandırılmamalıdır | Çıkış Noktaları Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemelidir. yalnızca gerekli etki alanlarının İşlev uygulamanızla etkileşim kurmasına izin verin. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Bulut hizmeti sağlayıcılarının uyumluluğunu yönetme | CMA_0290 - Bulut hizmeti sağlayıcılarının uyumluluğunu yönetme | El ile, Devre Dışı | 1.1.0 |
| Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır | Kubernetes kümesinde kaynak tükenmesi saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır | Pod kapsayıcılarının kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelleyin. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeyi amaçlayan CIS 5.2.2 ve CIS 5.2.3'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 5.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır | Kapsayıcılar yalnızca Kubernetes kümesinde izin verilen AppArmor profillerini kullanmalıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır | Kubernetes kümesindeki kapsayıcıların saldırı yüzeyini azaltma özelliklerini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır | Kubernetes kümesinin bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüler kullanın. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.3.0 |
| Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırılmalıdır | Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar eklenerek çalışma zamanındaki değişikliklerden korunmak için kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.3.0 |
| Kubernetes küme pod hostPath birimleri yalnızca izin verilen konak yollarını kullanmalıdır | Pod HostPath birimi bağlamalarını Kubernetes Kümesinde izin verilen konak yollarına sınırlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırılmalıdır | Podların ve kapsayıcıların kubernetes kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini denetleyin. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullanmalıdır | Kubernetes kümesinde konak ağına ve izin verilebilen konak bağlantı noktası aralığına pod erişimini kısıtlayın. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.4'ün bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 6.2.0 |
| Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarını dinlemelidir | Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtlayın. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 8.2.0 |
| Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemelidir | Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 9.2.0 |
| Kubernetes kümeleri kapsayıcı ayrıcalık yükseltmesine izin vermemelidir | Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltmesi ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarınızın güvenliğini iyileştirmeye yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke genellikle Kubernetes Service (AKS) ve Azure Arc özellikli Kubernetes için önizleme için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 7.2.0 |
| Linux makineleri Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.2.0 |
| Bilgi sistemi kusurlarını düzeltme | CMA_0427 - Bilgi sistemi kusurlarını düzeltme | El ile, Devre Dışı | 1.1.0 |
| Sistem tanılama verilerini görüntüleme ve yapılandırma | CMA_0544 - Sistem tanılama verilerini görüntüleme ve yapılandırma | El ile, Devre Dışı | 1.1.0 |
| Windows makineleri Azure işlem güvenlik temelinin gereksinimlerini karşılamalıdır | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Makine, Azure işlem güvenlik temelindeki önerilerden biri için doğru yapılandırılmamışsa, makineler uyumlu değildir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
Kuruluş sistemlerinde değişiklikleri izleme, gözden geçirme, onaylama veya onaylamama ve değişiklikleri günlüğe kaydetme.
Kimlik: NIST SP 800-171 R2 3.4.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Denetimi değiştirmek için bilgi güvenliği temsilcisi atama | CMA_C1198 - Denetimi değiştirmek için bilgi güvenliği temsilcisi atama | El ile, Devre Dışı | 1.1.0 |
| Önerilen değişiklikler için onay isteğini otomatikleştirme | CMA_C1192 - Önerilen değişiklikler için onay isteğini otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Onaylanan değişiklik bildirimlerinin uygulanmasını otomatikleştirme | CMA_C1196 - Onaylanan değişiklik bildirimlerinin uygulanmasını otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Uygulanan değişiklikleri belgele işlemi otomatikleştirme | CMA_C1195 - Uygulanan değişiklikleri belgele işlemi otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Gözden kullanılmayan değişiklik tekliflerini vurgulamak için süreci otomatikleştirme | CMA_C1193 - Gözden kullanılmayan değişiklik tekliflerini vurgulamak için süreci otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Onaylanmamış değişikliklerin uygulanmasını yasaklama işlemini otomatikleştirme | CMA_C1194 - Onaylanmamış değişikliklerin uygulanmasını yasaklama işlemini otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Önerilen belgelenmiş değişiklikleri otomatikleştirme | CMA_C1191 - Önerilen belgelenmiş değişiklikleri otomatikleştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik etki analizi gerçekleştirme | CMA_0057 - Güvenlik etkisi analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| güvenlik açığı yönetimi standardı geliştirme ve sürdürme | CMA_0152 - güvenlik açığı yönetimi standardı geliştirme ve sürdürme | El ile, Devre Dışı | 1.1.0 |
| Risk yönetimi stratejisi oluşturma | CMA_0258 - Risk yönetimi stratejisi oluşturma | El ile, Devre Dışı | 1.1.0 |
| Değişiklik denetimi işlemlerini oluşturma ve belgele | CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele | El ile, Devre Dışı | 1.1.0 |
| Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma | CMA_0270 - Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Gizlilik etkisi değerlendirmesi gerçekleştirme | CMA_0387 - Gizlilik etkisi değerlendirmesi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Risk değerlendirmesi gerçekleştirme | CMA_0388 - Risk değerlendirmesi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Yapılandırma değişikliği denetimi için denetim gerçekleştirme | CMA_0390 - Yapılandırma değişikliği denetimi için denetim gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
Uygulamadan önce değişikliklerin güvenlik etkisini analiz edin.
Kimlik: NIST SP 800-171 R2 3.4.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Güvenlik etki analizi gerçekleştirme | CMA_0057 - Güvenlik etkisi analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| güvenlik açığı yönetimi standardı geliştirme ve sürdürme | CMA_0152 - güvenlik açığı yönetimi standardı geliştirme ve sürdürme | El ile, Devre Dışı | 1.1.0 |
| Risk yönetimi stratejisi oluşturma | CMA_0258 - Risk yönetimi stratejisi oluşturma | El ile, Devre Dışı | 1.1.0 |
| Değişiklik denetimi işlemlerini oluşturma ve belgele | CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele | El ile, Devre Dışı | 1.1.0 |
| Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma | CMA_0270 - Geliştiriciler için yapılandırma yönetimi gereksinimleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| Gizlilik etkisi değerlendirmesi gerçekleştirme | CMA_0387 - Gizlilik etkisi değerlendirmesi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Risk değerlendirmesi gerçekleştirme | CMA_0388 - Risk değerlendirmesi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Yapılandırma değişikliği denetimi için denetim gerçekleştirme | CMA_0390 - Yapılandırma değişikliği denetimi için denetim gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
Kuruluş sistemlerinde yapılan değişikliklerle ilişkili fiziksel ve mantıksal erişim kısıtlamalarını tanımlayın, belgeleyin, onaylayın ve uygulayın.
Kimlik: NIST SP 800-171 R2 3.4.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Erişim kısıtlamalarını zorunlu kılma ve denetleme | CMA_C1203 - Erişim kısıtlamalarını zorunlu kılma ve denetleme | El ile, Devre Dışı | 1.1.0 |
| Değişiklik denetimi işlemlerini oluşturma ve belgele | CMA_0265 - Değişiklik denetimi işlemlerini oluşturma ve belgele | El ile, Devre Dışı | 1.1.0 |
| Üretim ortamında değişiklik yapmak için ayrıcalıkları sınırlama | CMA_C1206 - Üretim ortamında değişiklik yapmak için ayrıcalıkları sınırlayın | El ile, Devre Dışı | 1.1.0 |
| Yetkisiz yazılım ve üretici yazılımı yüklemesini kısıtlama | CMA_C1205 - Yetkisiz yazılım ve üretici yazılımı yüklemesini kısıtlama | El ile, Devre Dışı | 1.1.0 |
| Ayrıcalıkları gözden geçirme ve yeniden değerlendirme | CMA_C1207 - Ayrıcalıkları gözden geçirme ve yeniden değerlendirme | El ile, Devre Dışı | 1.1.0 |
| Yetkisiz değişiklikler için değişiklikleri gözden geçirme | CMA_C1204 - Yetkisiz değişiklikler için değişiklikleri gözden geçirme | El ile, Devre Dışı | 1.1.0 |
Kuruluş sistemlerini yalnızca temel özellikler sağlayacak şekilde yapılandırarak en az işlevsellik ilkesini kullanın.
Kimlik: NIST SP 800-171 R2 3.4.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sunucular için Azure Defender etkinleştirilmelidir | Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. | AuditIfNotExists, Devre Dışı | 1.0.3 |
Tanımlama ve Kimlik Doğrulaması
Sistem kullanıcılarını, kullanıcılar adına hareket eden işlemleri ve cihazları tanımlayın.
Kimlik: NIST SP 800-171 R2 3.5.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sistem tanımlayıcıları atama | CMA_0018 - Sistem tanımlayıcıları atama | El ile, Devre Dışı | 1.1.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kullanıcı benzersizliğini zorunlu kılma | CMA_0250 - Kullanıcı benzersizliğini zorunlu kılma | El ile, Devre Dışı | 1.1.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tek tek kimlik doğrulayıcıların kullanılmasını gerektir | CMA_C1305 - Tek tek kimlik doğrulayıcıların kullanılmasını gerektir | El ile, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Yasal makamlar tarafından verilen kişisel doğrulama kimlik bilgilerini destekleme | CMA_0507 - Yasal makamlar tarafından verilen kişisel doğrulama kimlik bilgilerini destekleme | El ile, Devre Dışı | 1.1.0 |
Yalnızca şifreleme korumalı parolaları depolayın ve iletin.
Kimlik: NIST SP 800-171 R2 3.5.10 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Yetkili kullanıcıların sağlanan kimlik doğrulayıcıları koruduğuna emin olun | CMA_C1339 - Yetkili kullanıcıların sağlanan kimlik doğrulayıcıları koruduğuna emin olun | El ile, Devre Dışı | 1.1.0 |
| Şifreleme ile parolaları koruma | CMA_0408 - Şifreleme ile parolaları koruma | El ile, Devre Dışı | 1.1.0 |
| Windows makineleri 'Güvenlik Seçenekleri - Ağ Güvenliği' gereksinimlerini karşılamalıdır | Windows makinelerinde Yerel Sistem davranışı, PKU2U, LAN Yöneticisi, LDAP istemcisi ve NTLM SSP dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Güvenliği' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Kimlik doğrulama bilgileriyle ilgili geri bildirimleri gizleme
Kimlik: NIST SP 800-171 R2 3.5.11 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimlik doğrulama işlemi sırasında geri bildirim bilgilerini gizleme | CMA_C1344 - Kimlik doğrulama işlemi sırasında geri bildirim bilgilerini gizle | El ile, Devre Dışı | 1.1.0 |
Kuruluş sistemlerine erişime izin vermek için önkoşul olarak kullanıcıların, işlemlerin veya cihazların kimliklerini doğrulayın (veya doğrulayın).
Kimlik: NIST SP 800-171 R2 3.5.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Geri alınabilen şifreleme kullanarak parola depolamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Ters çevrilebilir şifreleme kullanarak parola depolamayan Windows makineleri uyumlu değildir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir | SSH'nin kendisi şifreli bir bağlantı sağlasa da, SSH ile parola kullanmak vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. Azure Linux sanal makinesinde SSH üzerinden kimlik doğrulaması yapmak için en güvenli seçenek, SSH anahtarları olarak da bilinen genel-özel anahtar çiftidir. Daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Devre Dışı | 3.2.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır | Sertifikanın anahtar kasanızda geçerli olabileceği maksimum süreyi belirterek kuruluş uyumluluk gereksinimlerinizi yönetin. | denetim, Denetim, reddetme, Reddetme, devre dışı, Devre Dışı | 2.2.1 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Kimlik doğrulayıcı türleri ve işlemleri oluşturma | CMA_0267 - Kimlik doğrulayıcı türleri ve işlemleri oluşturma | El ile, Devre Dışı | 1.1.0 |
| İlk kimlik doğrulayıcı dağıtımı için yordamlar oluşturma | CMA_0276 - İlk kimlik doğrulayıcı dağıtımı için yordamlar oluşturma | El ile, Devre Dışı | 1.1.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Key Vault anahtarlarının son kullanma tarihi olmalıdır | Şifreleme anahtarlarının tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Key Vault gizli dizilerinin son kullanma tarihi olmalıdır | Gizli dizilerin tanımlı bir son kullanma tarihi olmalıdır ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli dizilerde son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. | Denetim, Reddetme, Devre Dışı | 1.0.2 |
| Kimlik doğrulayıcı ömrünü yönetme ve yeniden kullanma | CMA_0355 - Kimlik doğrulayıcı ömrünü yönetme ve yeniden kullanma | El ile, Devre Dışı | 1.1.0 |
| Kimlik Doğrulayıcıları Yönetme | CMA_C1321 - Kimlik Doğrulayıcıları Yönetme | El ile, Devre Dışı | 1.1.0 |
| Kimlik doğrulayıcıları yenileme | CMA_0425 - Kimlik doğrulayıcıları yenileme | El ile, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Kimlik doğrulayıcıları dağıtmadan önce kimliği doğrulama | CMA_0538 - Kimlik doğrulayıcıları dağıtmadan önce kimliği doğrulama | El ile, Devre Dışı | 1.1.0 |
Ayrıcalıklı hesaplara yerel ve ağ erişimi ve ayrıcalıklı olmayan hesaplara ağ erişimi için çok faktörlü kimlik doğrulamasını kullanma
Kimlik: NIST SP 800-171 R2 3.5.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Biyometrik kimlik doğrulama mekanizmalarını benimseme | CMA_0005 - Biyometrik kimlik doğrulama mekanizmalarını benimseme | El ile, Devre Dışı | 1.1.0 |
| Ağ cihazlarını tanımlama ve kimlik doğrulaması | CMA_0296 - Ağ cihazlarını tanımlama ve kimlik doğrulaması | El ile, Devre Dışı | 1.1.0 |
Ayrıcalıklı ve ayrıcalıklı olmayan hesaplara ağ erişimi için yeniden yürütmeye dayanıklı kimlik doğrulama mekanizmaları kullanın.
Kimlik: NIST SP 800-171 R2 3.5.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Windows makineleri 'Güvenlik Seçenekleri - Ağ Güvenliği' gereksinimlerini karşılamalıdır | Windows makinelerinde Yerel Sistem davranışı, PKU2U, LAN Yöneticisi, LDAP istemcisi ve NTLM SSP dahil olmak üzere 'Güvenlik Seçenekleri - Ağ Güvenliği' kategorisinde belirtilen Grup İlkesi ayarları olmalıdır. Bu ilke, Konuk Yapılandırması önkoşullarının ilke atama kapsamına dağıtılmış olmasını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Tanımlayıcıların tanımlı bir dönem için yeniden kullanılmasını önleyin.
Kimlik: NIST SP 800-171 R2 3.5.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tanımlanan zaman aralığı için tanımlayıcının yeniden kullanılmasını engelleme | CMA_C1314 - Tanımlanan zaman aralığı için tanımlayıcının yeniden kullanılmasını engelleme | El ile, Devre Dışı | 1.1.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Tanımlı bir etkinlik dışı kalma süresinden sonra tanımlayıcıları devre dışı bırakın.
Kimlik: NIST SP 800-171 R2 3.5.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure AI Services kaynaklarının anahtar erişimi devre dışı bırakılmalıdır (yerel kimlik doğrulamayı devre dışı bırak) | Güvenlik için anahtar erişiminin (yerel kimlik doğrulaması) devre dışı bırakılması önerilir. Genellikle geliştirme/test aşamasında kullanılan Azure OpenAI Studio, anahtar erişimi gerektirir ve anahtar erişimi devre dışı bırakılırsa çalışmaz. Devre dışı bırakıldıktan sonra Microsoft Entra ID, minimum ayrıcalık ilkesinin ve ayrıntılı denetimin korunmasına olanak tanıyan tek erişim yöntemi haline gelir. Daha fazla bilgi için: https://aka.ms/AI/auth | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| İşlev uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
Yeni parolalar oluşturulduğunda en düşük parola karmaşıklığını ve karakter değişikliklerini zorunlu kılma.
Kimlik: NIST SP 800-171 R2 3.5.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 2.0.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Alım sözleşmelerindeki güvenlik gücü gereksinimlerini belgeleyin | CMA_0203 - Alım sözleşmelerindeki güvenlik gücü gereksinimlerini belgeleyin | El ile, Devre Dışı | 1.1.0 |
| Parola ilkesi oluşturma | CMA_0256 - Parola ilkesi oluşturma | El ile, Devre Dışı | 1.1.0 |
| Ezberlenmiş gizli dizi doğrulayıcıları için parametreleri uygulama | CMA_0321 - Ezberlenmiş gizli dizi doğrulayıcıları için parametreler uygulama | El ile, Devre Dışı | 1.1.0 |
Belirtilen sayıda nesil için parolanın yeniden kullanılmasını yasakla.
Kimlik: NIST SP 800-171 R2 3.5.8 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Olay yanıtı
Hazırlık, algılama, analiz, kapsama, kurtarma ve kullanıcı yanıt etkinliklerini içeren kuruluş sistemleri için operasyonel bir olay işleme özelliği oluşturun.
Kimlik: NIST SP 800-171 R2 3.6.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| İlgili planlarla acil durum planlarını koordine etme | CMA_0086 - Acil durum planlarını ilgili planlarla koordine etme | El ile, Devre Dışı | 1.1.0 |
| Kuruluşlar arası perspektif elde etmek için dış kuruluşlarla işbirliği yapma | CMA_C1368 - Kuruluşlar arası perspektif elde etmek için dış kuruluşlarla işbirliği yapma | El ile, Devre Dışı | 1.1.0 |
| Olay yanıt planı geliştirme | CMA_0145 - Olay yanıt planı geliştirme | El ile, Devre Dışı | 1.1.0 |
| Güvenlik önlemleri geliştirme | CMA_0161 - Güvenlik önlemleri geliştirme | El ile, Devre Dışı | 1.1.0 |
| Belge güvenlik işlemleri | CMA_0202 - Belge güvenlik işlemleri | El ile, Devre Dışı | 1.1.0 |
| Ağ korumasını etkinleştirme | CMA_0238 - Ağ korumasını etkinleştirme | El ile, Devre Dışı | 1.1.0 |
| Kirlenmiş bilgileri yok etmek | CMA_0253 - Kirlenmiş bilgileri yok etmek | El ile, Devre Dışı | 1.1.0 |
| Bilgi taşmalarına yanıt olarak eylemler yürütme | CMA_0281 - Bilgi taşmalarına yanıt olarak eylemleri yürütme | El ile, Devre Dışı | 1.1.0 |
| Olay işlemeyi uygulama | CMA_0318 - Olay işleme uygulama | El ile, Devre Dışı | 1.1.0 |
| Tehditler üzerinde eğilim analizi gerçekleştirme | CMA_0389 - Tehditler üzerinde eğilim analizi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Bilgi taşması eğitimi sağlama | CMA_0413 - Bilgi taşması eğitimi sağlama | El ile, Devre Dışı | 1.1.0 |
| Kısıtlanmış kullanıcıları görüntüleme ve araştırma | CMA_0545 - Kısıtlı kullanıcıları görüntüleme ve araştırma | El ile, Devre Dışı | 1.1.0 |
Olayları hem kuruluş içindeki hem de dışındaki yetkili ve/veya yetkililere takip edin, belgeleyip rapor edin.
Kimlik: NIST SP 800-171 R2 3.6.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. | AuditIfNotExists, Devre Dışı | 1.2.0 |
| Yüksek önem derecesi uyarıları için abonelik sahibine e-posta bildirimi etkinleştirilmelidir | Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizin bilgilendirildiğinden emin olmak için Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için abonelik sahiplerine e-posta bildirimleri ayarlayın. | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır | Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. | AuditIfNotExists, Devre Dışı | 1.0.1 |
Kuruluş olayı yanıt özelliğini test edin.
Kimlik: NIST SP 800-171 R2 3.6.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Olay yanıtı testi gerçekleştirme | CMA_0060 - Olay yanıtı testi gerçekleştirme | El ile, Devre Dışı | 1.1.0 |
| Bilgi güvenliği programı oluşturma | CMA_0263 - Bilgi güvenliği programı oluşturma | El ile, Devre Dışı | 1.1.0 |
| Simülasyon saldırılarını çalıştırma | CMA_0486 - Simülasyon saldırılarını çalıştırma | El ile, Devre Dışı | 1.1.0 |
Bakım
Kuruluş sistemlerinde bakım gerçekleştirme. [26].
Kimlik: NIST SP 800-171 R2 3.7.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Bakım ve onarım etkinliklerini denetleme | CMA_0080 - Bakım ve onarım etkinliklerini denetleme | El ile, Devre Dışı | 1.1.0 |
Sistem bakımını yapmak için kullanılan araçlar, teknikler, mekanizmalar ve personel üzerinde denetimler sağlar.
Kimlik: NIST SP 800-171 R2 3.7.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Bakım ve onarım etkinliklerini denetleme | CMA_0080 - Bakım ve onarım etkinliklerini denetleme | El ile, Devre Dışı | 1.1.0 |
| Medya temizleme mekanizması kullanma | CMA_0208 - Medya temizleme mekanizması kullanma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Yerel olmayan bakım ve tanılama etkinliklerini yönetme | CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme | El ile, Devre Dışı | 1.1.0 |
Herhangi bir CUI'nin yerinde bakım için ekipmanın kaldırıldığından emin olun.
Kimlik: NIST SP 800-171 R2 3.7.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Medya temizleme mekanizması kullanma | CMA_0208 - Medya temizleme mekanizması kullanma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Yerel olmayan bakım ve tanılama etkinliklerini yönetme | CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme | El ile, Devre Dışı | 1.1.0 |
Kuruluş sistemlerinde medya kullanılmadan önce tanılama ve test programlarını içeren medyayı kötü amaçlı kodlara karşı denetleyin.
Kimlik: NIST SP 800-171 R2 3.7.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Bakım ve onarım etkinliklerini denetleme | CMA_0080 - Bakım ve onarım etkinliklerini denetleme | El ile, Devre Dışı | 1.1.0 |
| Yerel olmayan bakım ve tanılama etkinliklerini yönetme | CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme | El ile, Devre Dışı | 1.1.0 |
Dış ağ bağlantıları aracılığıyla konum dışı bakım oturumları oluşturmak ve konum dışı bakım tamamlandığında bu tür bağlantıları sonlandırmak için çok faktörlü kimlik doğrulaması iste.
Kimlik: NIST SP 800-171 R2 3.7.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yerel olmayan bakım ve tanılama etkinliklerini yönetme | CMA_0364 - Yerel olmayan bakım ve tanılama etkinliklerini yönetme | El ile, Devre Dışı | 1.1.0 |
Gerekli erişim yetkisi olmadan bakım personelinin bakım etkinliklerini denetleme.
Kimlik: NIST SP 800-171 R2 3.7.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Yetkisiz bakım etkinliklerini denetlemek için personel belirleme | CMA_C1422 - Personeli yetkisiz bakım etkinliklerini denetleyecek şekilde belirleme | El ile, Devre Dışı | 1.1.0 |
| Yetkili uzaktan bakım personelinin listesini koruma | CMA_C1420 - Yetkili uzaktan bakım personelinin listesini koruyun | El ile, Devre Dışı | 1.1.0 |
| Bakım personelini yönetme | CMA_C1421 - Bakım personelini yönetme | El ile, Devre Dışı | 1.1.0 |
Medya Koruması
Hem kağıt hem de dijital CUI içeren sistem medyasını koruyun (fiziksel olarak kontrol edin ve güvenli bir şekilde depolayın).
Kimlik: NIST SP 800-171 R2 3.8.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Medya temizleme mekanizması kullanma | CMA_0208 - Medya temizleme mekanizması kullanma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
Sistem medyası üzerindeki CUI erişimini yetkili kullanıcılarla sınırlandırma
Kimlik: NIST SP 800-171 R2 3.8.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Medya temizleme mekanizması kullanma | CMA_0208 - Medya temizleme mekanizması kullanma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
Yeniden kullanım için elden çıkarmadan veya serbest bırakmadan önce CUI içeren sistem medyasını temizleme veya yok etme.
Kimlik: NIST SP 800-171 R2 3.8.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Medya temizleme mekanizması kullanma | CMA_0208 - Medya temizleme mekanizması kullanma | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
Medyayı gerekli CUI işaretleriyle ve dağıtım sınırlamalarıyla işaretleyin. [27]
Kimlik: NIST SP 800-171 R2 3.8.4 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
CUI içeren medyaya erişimi kontrol edin ve denetimli alanların dışına taşıma sırasında medyadan sorumlu tutulun.
Kimlik: NIST SP 800-171 R2 3.8.5 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Varlıkların taşınmasını yönetme | CMA_0370 - Varlıkların taşınmasını yönetme | El ile, Devre Dışı | 1.1.0 |
Alternatif fiziksel güvenlik önlemleriyle korunmadığı sürece aktarım sırasında dijital medyada depolanan CUI'nin gizliliğini korumak için şifreleme mekanizmaları uygulayın.
Kimlik: NIST SP 800-171 R2 3.8.6 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Varlıkların taşınmasını yönetme | CMA_0370 - Varlıkların taşınmasını yönetme | El ile, Devre Dışı | 1.1.0 |
Sistem bileşenlerinde çıkarılabilir medya kullanımını denetleme.
Kimlik: NIST SP 800-171 R2 3.8.7 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme | El ile, Devre Dışı | 1.1.0 |
| Taşınabilir depolama cihazlarının kullanımını denetleme | CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Medya kullanımını kısıtlama | CMA_0450 - Medya kullanımını kısıtlama | El ile, Devre Dışı | 1.1.0 |
Bu cihazların tanımlanabilir sahibi olmadığında taşınabilir depolama cihazlarının kullanımını yasaklar.
Kimlik: NIST SP 800-171 R2 3.8.8 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| USB'den çalıştırılan güvenilmeyen ve imzalanmamış işlemleri engelleme | CMA_0050 - USB'den çalışan güvenilmeyen ve imzalanmamış işlemleri engelleme | El ile, Devre Dışı | 1.1.0 |
| Taşınabilir depolama cihazlarının kullanımını denetleme | CMA_0083 - Taşınabilir depolama cihazlarının kullanımını denetleme | El ile, Devre Dışı | 1.1.0 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Medya kullanımını kısıtlama | CMA_0450 - Medya kullanımını kısıtlama | El ile, Devre Dışı | 1.1.0 |
Depolama konumlarında yedekleme CUI'sinin gizliliğini koruyun.
Kimlik: NIST SP 800-171 R2 3.8.9 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure Backup Sanal Makineler için etkinleştirilmelidir | Azure Backup'i etkinleştirerek Azure Sanal Makineler'nizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Yedekleme ilkeleri ve yordamları oluşturma | CMA_0268 - Yedekleme ilkeleri ve yordamları oluşturma | El ile, Devre Dışı | 1.1.0 |
| Coğrafi olarak yedekli yedekleme MariaDB için Azure Veritabanı için etkinleştirilmelidir | MariaDB için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| coğrafi olarak yedekli yedekleme MySQL için Azure Veritabanı için etkinleştirilmelidir | MySQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Coğrafi olarak yedekli yedekleme PostgreSQL için Azure Veritabanı için etkinleştirilmelidir | PostgreSQL için Azure Veritabanı veritabanı sunucunuz için yedeklilik seçeneğini belirlemenize olanak tanır. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, aynı zamanda bölge hatası durumunda kurtarma seçeneği sağlamak için eşleştirilmiş bir bölgeye çoğaltıldığı coğrafi olarak yedekli bir yedekleme depolama alanına ayarlanabilir. Coğrafi olarak yedekli depolamanın yedekleme için yapılandırılmasına yalnızca sunucu oluşturma sırasında izin verilir. | Denetim, Devre Dışı | 1.0.1 |
| Tüm medyanın güvenliğini sağlamak için denetimler uygulama | CMA_0314 - Tüm medyanın güvenliğini sağlamak için denetimler uygulama | El ile, Devre Dışı | 1.1.0 |
| Anahtar kasalarında silme koruması etkinleştirilmelidir | Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. | Denetim, Reddetme, Devre Dışı | 2.1.0 |
| Anahtar kasalarında geçici silme etkinleştirilmelidir | Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. | Denetim, Reddetme, Devre Dışı | 3.0.0 |
Personel Güvenliği
CUI içeren kuruluş sistemlerine erişim yetkisi vermeden önce bireyleri görüntüleyin.
Kimlik: NIST SP 800-171 R2 3.9.1 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sınıflandırılmış bilgilere erişimi olan personeli temizleme | CMA_0054 - Sınıflandırılmış bilgilere erişimi olan personeli temizleme | El ile, Devre Dışı | 1.1.0 |
| Personel taraması uygulama | CMA_0322 - Personel taraması uygulama | El ile, Devre Dışı | 1.1.0 |
CUI içeren kuruluş sistemlerinin sonlandırmalar ve aktarımlar gibi personel eylemleri sırasında ve sonrasında korunduğundan emin olun
Kimlik: NIST SP 800-171 R2 3.9.2 Sahiplik: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sonlandırmadan sonra çıkış görüşmesi yapma | CMA_0058 - Fesih üzerine çıkış görüşmesi yapma | El ile, Devre Dışı | 1.1.0 |
| Sonlandırma sırasında kimlik doğrulayıcıları devre dışı bırakma | CMA_0169 - Sonlandırma sırasında kimlik doğrulayıcıları devre dışı bırakma | El ile, Devre Dışı | 1.1.0 |
| Aktarım veya yeniden atama eylemlerini başlatma | CMA_0333 - Aktarım veya yeniden atama eylemlerini başlatma | El ile, Devre Dışı | 1.1.0 |
| Personel aktarımında erişim yetkilendirmelerini değiştirme | CMA_0374 - Personel aktarımında erişim yetkilendirmelerini değiştirme | El ile, Devre Dışı | 1.1.0 |
| Sonlandırma veya aktarım durumunda bildirimde bulun | CMA_0381 - Sonlandırma veya aktarım durumunda bildirimde bulun | El ile, Devre Dışı | 1.1.0 |
| Çalışanlardan ayrılan veri hırsızlığına karşı koruma ve bu hırsızlıkları önleme | CMA_0398 - Çalışanlardan ayrılan veri hırsızlığına karşı koruma sağlama ve bu hırsızlıkları önleme | El ile, Devre Dışı | 1.1.0 |
| Personel transferi üzerine erişimi yeniden değerlendirme | CMA_0424 - Personel transferi üzerine erişimi yeniden değerlendirme | El ile, Devre Dışı | 1.1.0 |
Sonraki adımlar
Azure İlkesi hakkında ek makaleler:
- Mevzuat Uyumluluğuna genel bakış.
- Girişim tanımı yapısına bakın.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.