Sanal Makineler için Azure güvenlik temeli - Windows Sanal Makineler

Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan Sanal Makineler - Windows Sanal Makineler'e yönergeleri uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve Sanal Makineler - Windows Sanal Makineler için geçerli olan ilgili yönergelere göre gruplandırılır.

Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.

Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.

Not

Sanal Makineler için geçerli olmayan özellikler - Windows Sanal Makineler hariç tutuldu. Sanal Makineler - Windows Sanal Makineler tamamen Microsoft bulut güvenliği karşılaştırmasına nasıl eşlediğini görmek için tam Sanal Makineler - Windows Sanal Makineler güvenlik temeli eşleme dosyasına bakın.

Güvenlik profili

Güvenlik profili, Sanal Makineler - Windows Sanal Makineler'nin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.

Hizmet Davranışı Özniteliği Değer
Ürün Kategorisi İşlem
Müşteri HOST / işletim sistemine erişebilir Tam Erişim
Hizmet müşterinin sanal ağına dağıtılabilir Doğru
Bekleyen müşteri içeriğini depolar Doğru

Ağ güvenliği

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.

NS-1: Ağ segmentasyon sınırları oluşturma

Özellikler

Sanal Ağ Tümleştirmesi

Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Doğru Microsoft

Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.

Başvuru: Azure'da sanal ağlar ve sanal makineler

Ağ Güvenlik Grubu Desteği

Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasına saygı gösterir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Trafiği bağlantı noktasına, protokole, kaynak IP adresine veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.

Bir Azure sanal makinesi (VM) oluşturduğunuzda, bir sanal ağ oluşturmanız veya mevcut bir sanal ağı kullanmanız ve VM'yi bir alt ağ ile yapılandırmanız gerekir. Dağıtılan tüm alt ağların uygulamalarınızın güvenilen bağlantı noktalarına ve kaynaklarına özgü ağ erişim denetimleriyle uygulanmış bir Ağ Güvenlik Grubu olduğundan emin olun.

Başvuru: Ağ güvenlik grupları

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sanal makinenizle ilişkili ağ güvenlik gruplarında tüm ağ bağlantı noktaları kısıtlanmalıdır Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak tanıyabilir. AuditIfNotExists, Devre Dışı 3.0.0

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
İnternet'e yönelik sanal makinelere uyarlamalı ağ sağlamlaştırma önerileri uygulanmalıdır Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar AuditIfNotExists, Devre Dışı 3.0.0

NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama

Özellikler

Genel Ağ Erişimini Devre Dışı Bırak

Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Genel erişimi devre dışı bırakmak üzere ağ filtrelemesi sağlamak için Windows Defender Güvenlik Duvarı gibi işletim sistemi düzeyindeki hizmetleri kullanın.

Kimlik yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.

IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma

Özellikler

veri düzlemi erişimi için gerekli Azure AD kimlik doğrulaması

Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory (Azure AD) kullanın.

Başvuru: Parolasız dahil Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın

Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri

Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Doğru Microsoft

Özellik notları: Sanal makinenin ilk dağıtımı sırasında varsayılan olarak bir yerel yönetici hesabı oluşturulur. Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.

Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.

IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme

Özellikler

Yönetilen Kimlikler

Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Yönetilen kimlik genellikle Diğer hizmetlerde kimlik doğrulaması yapmak için Windows VM tarafından yararlanılır. Windows VM Azure AD kimlik doğrulamasını destekliyorsa yönetilen kimlik desteklenebilir.

Yapılandırma Kılavuzu: Mümkün olduğunda, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen hizmet sorumluları yerine Azure yönetilen kimliklerini kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.

Hizmet Sorumluları

Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Hizmet sorumluları Windows VM'de çalışan uygulamalar tarafından kullanılabilir.

Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yok. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sanal makinelerin Konuk Yapılandırma uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılmalıdır Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri, Konuk Yapılandırması uzantısı yüklü olduğunda ancak sistem tarafından atanan yönetilen kimliğe sahip olmadığında uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Devre Dışı 1.0.1

IM-7: Koşullara göre kaynak erişimini kısıtlama

Özellikler

Veri Düzlemi için Koşullu Erişim

Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Windows Server 2019 Datacenter sürümüne veya Windows 10 1809 ve sonraki sürümlerine RDP uygulamak için çekirdek kimlik doğrulama platformu olarak Azure AD kullanın. Daha sonra VM'lere erişim izni veren veya erişimi reddeden Azure rol tabanlı erişim denetimi (RBAC) ve Koşullu Erişim ilkelerini merkezi olarak denetleyebilir ve zorunlu kılabilirsiniz.

Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişimi engelleme veya verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.

Başvuru: Parolasız dahil Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın

IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama

Özellikler

Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği

Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Veri düzleminde veya işletim sisteminde, hizmetler kimlik bilgileri veya gizli diziler için Azure Key Vault çağırabilir.

Yapılandırma Kılavuzu: Gizli dizileri ve kimlik bilgilerini kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.

Ayrıcalıklı erişim

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.

PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın

Özellikler

Yerel Yönetici Hesapları

Açıklama: Hizmet, yerel yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Doğru Microsoft

Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.

Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.

Başvuru: Hızlı Başlangıç: Azure portal bir Windows sanal makinesi oluşturma

PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin

Özellikler

Veri Düzlemi için Azure RBAC

Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Windows Server 2019 Datacenter sürümüne ve sonraki sürümlerine veya Windows 10 1809 ve sonraki sürümlere RDP yapmak için Azure AD çekirdek kimlik doğrulama platformu olarak kullanın. Daha sonra VM'lere erişim izni veren veya erişimi reddeden Azure rol tabanlı erişim denetimi (RBAC) ve Koşullu Erişim ilkelerini merkezi olarak denetleyip zorunlu kılabilirsiniz.

Yapılandırma Kılavuzu: RBAC ile, vm'de kimlerin normal kullanıcı olarak veya yönetici ayrıcalıklarıyla oturum açabileceğini belirtin. Kullanıcılar ekibinize katıldığında, vm için Azure RBAC ilkesini uygun şekilde erişim vermek üzere güncelleştirebilirsiniz. Çalışanlar kuruluşunuzdan ayrıldığında ve kullanıcı hesapları devre dışı bırakıldığında veya Azure AD kaldırıldığında, artık kaynaklarınıza erişimi olmaz.

Başvuru: Parolasız dahil Azure AD kullanarak Azure'da bir Windows sanal makinesinde oturum açın

PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme

Özellikler

Müşteri Kasası

Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Gözden geçirmek için Müşteri Kasası'na tıklayın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.

Veri koruma

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.

DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme

Özellikler

Hassas Veri Bulma ve Sınıflandırma

Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme

Özellikler

Veri Sızıntısı/Kaybı Önleme

Açıklama: Hizmet, hassas veri taşımayı (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

DP-3: Aktarımdaki hassas verileri şifreleme

Özellikler

AktarımDaki Veriler Şifrelemesi

Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemesini destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: SSH gibi bazı iletişim protokolleri varsayılan olarak şifrelenir. Ancak HTTP gibi diğer hizmetlerin şifreleme için TLS kullanacak şekilde yapılandırılması gerekir.

Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya sonraki bir sürümün kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makineler uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.

Başvuru: VM'lerde aktarım sırasında şifreleme

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır makineleriniz İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. AuditIfNotExists, Devre Dışı 4.1.1

DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme

Özellikler

Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme

Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Doğru Microsoft

Özellik notları: Yönetilen diskler varsayılan olarak platform tarafından yönetilen şifreleme anahtarlarını kullanır. Mevcut yönetilen disklere yazılan tüm yönetilen diskler, anlık görüntüler, görüntüler ve veriler platform tarafından yönetilen anahtarlarla bekleme sırasında otomatik olarak şifrelenir.

Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.

Başvuru: Azure Disk Depolama'nın sunucu tarafı şifrelemesi - Platform tarafından yönetilen anahtarlar

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sanal makineler, İşlem ve Depolama kaynakları arasında geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2'yi kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama' nın sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Devre Dışı 2.0.3

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Önizleme]: Linux sanal makineleri Azure Disk Şifrelemesi veya EncryptionAtHost'un etkinleştirilmesi gerekir. Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir; geçici diskler ve veri önbellekleri şifrelenmez ve işlem ile depolama kaynakları arasında akış yapıldığında veriler şifrelenmez. Tüm bu verileri şifrelemek için Azure Disk Şifrelemesi veya EncryptionAtHost kullanın. Şifreleme tekliflerini karşılaştırmak için adresini ziyaret edin https://aka.ms/diskencryptioncomparison . Bu ilke, ilke atama kapsamına dağıtılması için iki önkoşul gerektirir. Ayrıntılar için bkz. https://aka.ms/gcpol. AuditIfNotExists, Devre Dışı 1.2.0-önizleme

DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın

Özellikler

CMK Kullanarak Bekleyen Verileri Şifreleme

Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Şifrelemeyi her yönetilen disk düzeyinde kendi anahtarlarınızla yönetmeyi seçebilirsiniz. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarlar erişim denetimlerini yönetmek için çok daha fazla esneklik sunar.

Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.

Sanal Makineler (VM) üzerindeki sanal diskler bekleme sırasında Sunucu tarafı şifrelemesi veya Azure disk şifrelemesi (ADE) kullanılarak şifrelenir. Azure Disk Şifrelemesi, konuk VM'de yönetilen diskleri müşteri tarafından yönetilen anahtarlarla şifrelemek için Windows'un BitLocker özelliğinden yararlanıyor. Müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemesi, Depolama hizmetindeki verileri şifreleyerek VM'leriniz için herhangi bir işletim sistemi türünü ve görüntüyü kullanmanızı sağlayarak ADE'de iyileştirir.

Başvuru: Azure Disk Depolama'nın sunucu tarafı şifrelemesi

DP-6: Güvenli bir anahtar yönetim işlemi kullanma

Özellikler

Azure Key Vault'de Anahtar Yönetimi

Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlı bir zamanlamaya göre veya önemli bir kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarlara Azure Key Vault kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvurıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (örneğin, şirket içi HSM'lerinizden Azure Key Vault HSM korumalı anahtarları içeri aktarma), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.

Başvuru: Windows VM'sinde Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma

DP-7: Güvenli bir sertifika yönetim işlemi kullanma

Özellikler

Azure Key Vault'de Sertifika Yönetimi

Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Yanlış Geçerli değil Geçerli değil

Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.

Varlık yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.

AM-2: Yalnızca onaylanan hizmetleri kullanın

Özellikler

Azure İlkesi Desteği

Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Azure İlkesi, kuruluşunuzun Windows VM'leri ve Linux VM'leri için istenen davranışı tanımlamak için kullanılabilir. Kuruluş, ilkeleri kullanarak kuruluş genelinde çeşitli kural ve kuralları zorunlu kılabilir ve Azure Sanal Makineler için standart güvenlik yapılandırmaları tanımlayıp uygulayabilir. İstenen davranışın uygulanması, kuruluşun başarısına katkıda bulunurken riski azaltmaya yardımcı olabilir.

Başvuru: Azure Sanal Makineler için yerleşik tanımları Azure İlkesi

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmeleri sağlamak üzere sanal makineleriniz için yeni Azure Resource Manager kullanın Yönetimi Denetim, Reddetme, Devre Dışı 1.0.0

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik için etiketler ve kaynak grupları desteği gibi güvenlik iyileştirmeleri sağlamak üzere sanal makineleriniz için yeni Azure Resource Manager kullanın Yönetimi Denetim, Reddetme, Devre Dışı 1.0.0

AM-5: Sanal makinede yalnızca onaylı uygulamaları kullanın

Özellikler

Bulut için Microsoft Defender - Uyarlamalı Uygulama Denetimleri

Açıklama: Hizmet, Bulut için Microsoft Defender'daki Uyarlamalı Uygulama Denetimlerini kullanarak sanal makinede çalıştırılacak müşteri uygulamalarını sınırlayabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Sanal makinelerde (VM) çalışan uygulamaları bulmak ve vm ortamında hangi onaylı uygulamaların çalışabileceğini zorunlu hale getirmek üzere bir uygulama izin listesi oluşturmak üzere Bulut uyarlamalı uygulama denetimleri için Microsoft Defender kullanın.

Başvuru: Makinelerinizin saldırı yüzeylerini azaltmak için uyarlamalı uygulama denetimlerini kullanma

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Makinelerinizde güvenli uygulamalar tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Makinelerinizde güvenli uygulamalar tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. AuditIfNotExists, Devre Dışı 3.0.0

Günlüğe kaydetme ve tehdit algılama

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.

LT-1: Tehdit algılama özelliklerini etkinleştirme

Özellikler

Hizmet için Microsoft Defender / Ürün Teklifi

Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Sunucular için Defender, korumayı Azure'da çalışan Windows ve Linux makinelerinize genişletir. Sunucular için Defender, uç nokta algılama ve yanıt (EDR) sağlamak için Uç Nokta için Microsoft Defender ile tümleştirilir ve ayrıca güvenlik temelleri ve işletim sistemi düzeyi değerlendirmeleri, güvenlik açığı değerlendirme taraması, uyarlamalı uygulama denetimleri (AAC), dosya bütünlüğü izleme (FIM) ve daha fazlası gibi bir dizi ek tehdit koruma özelliği sağlar.

Başvuru: Sunucular için Defender dağıtımınızı planlama

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Windows Defender Exploit Guard makinelerinizde etkinleştirilmelidir Windows Defender Exploit Guard, Azure İlkesi Konuk Yapılandırma aracısını kullanır. Exploit Guard, çok çeşitli saldırı vektörlerine karşı cihazları kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek ve kuruluşların güvenlik risklerini ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows) için tasarlanmış dört bileşene sahiptir. AuditIfNotExists, Devre Dışı 2.0.0

LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme

Özellikler

Azure Kaynak Günlükleri

Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Vm'yi oluşturduğunuzda Azure İzleyici sanal makine konağınız için ölçüm verilerini otomatik olarak toplamaya başlar. Ancak sanal makinenin konuk işletim sisteminden günlükleri ve performans verilerini toplamak için Azure İzleyici aracısını yüklemeniz gerekir. Aracıyı yükleyebilir ve VM içgörülerini kullanarak veya bir veri toplama kuralı oluşturarak koleksiyonu yapılandırabilirsiniz.

Başvuru: Log Analytics aracıya genel bakış

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
[Önizleme]: Linux sanal makinelerine ağ trafiği veri toplama aracısı yüklenmelidir Güvenlik Merkezi, ağ haritasında trafik görselleştirmesi, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek üzere Azure sanal makinelerinizden ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Devre Dışı 1.0.2-önizleme

Duruş ve güvenlik açığı yönetimi

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.

PV-3: İşlem kaynakları için güvenli yapılandırmalar tanımlama ve oluşturma

Özellikler

Azure Otomasyonu State Configuration

Açıklama: Azure Otomasyonu State Configuration işletim sisteminin güvenlik yapılandırmasını korumak için kullanılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: İşletim sisteminin güvenlik yapılandırmasını korumak için Azure Otomasyonu State Configuration kullanın.

Başvuru: vm'yi Desired State Configuration ile yapılandırma

Azure İlkesi Konuk Yapılandırma Aracısı

Açıklama: Azure İlkesi konuk yapılandırma aracısı, işlem kaynaklarına uzantı olarak yüklenebilir veya dağıtılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Azure İlkesi Konuk Yapılandırması artık Azure Otomatik Yönetim Makine Yapılandırması olarak adlandırılıyor.

Yapılandırma Kılavuzu: Vm'ler, kapsayıcılar ve diğerleri dahil olmak üzere Azure işlem kaynaklarınızdaki yapılandırma sapmalarını düzenli olarak değerlendirmek ve düzeltmek için Bulut ve Azure İlkesi konuk yapılandırma aracısı için Microsoft Defender kullanın.

Başvuru: Azure Otomatik Yönetim'in makine yapılandırma özelliğini anlama

Özel VM Görüntüleri

Açıklama: Hizmet, belirli temel yapılandırmaların önceden uygulandığı, kullanıcı tarafından sağlanan VM görüntülerinin veya marketten önceden oluşturulmuş görüntülerin kullanılmasını destekler. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Microsoft gibi güvenilir bir sağlayıcının önceden yapılandırılmış sağlamlaştırılmış görüntüsünü kullanın veya VM görüntü şablonunda istenen güvenli yapılandırma temelini oluşturun

Başvuru: Öğretici: Azure PowerShell ile Windows VM görüntüleri oluşturma

PV-4: İşlem kaynakları için güvenli yapılandırmaları denetleme ve zorlama

Özellikler

Güvenilen Başlatma Sanal Makinesi

Açıklama: Güvenilir Başlatma, güvenli önyükleme, vTPM ve bütünlük izleme gibi altyapı teknolojilerini birleştirerek gelişmiş ve kalıcı saldırı tekniklerine karşı koruma sağlar. Her teknoloji gelişmiş tehditlere karşı başka bir savunma katmanı sağlar. Güvenilir başlatma, doğrulanmış önyükleme yükleyicileri, işletim sistemi çekirdekleri ve sürücüleri olan sanal makinelerin güvenli dağıtımına olanak tanır ve sanal makinelerdeki anahtarları, sertifikaları ve gizli dizileri güvenli bir şekilde korur. Güvenilen başlatma ayrıca tüm önyükleme zincirinin bütünlüğüne ilişkin içgörüler ve güven sağlar ve iş yüklerinin güvenilir ve doğrulanabilir olmasını sağlar. Güvenilir başlatma, VM'lerin düzgün yapılandırıldığından emin olmak için Vm'lerin iyi durumda bir şekilde önyüklendiğini uzaktan doğrulayarak Bulut için Microsoft Defender ile tümleşiktir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notu: Güvenilen başlatma 2. nesil VM'ler için kullanılabilir. Güvenilen başlatma, yeni sanal makinelerin oluşturulmasını gerektirir. İlk olarak bu sanal makine olmadan oluşturulmuş olan mevcut sanal makinelerde güvenilir başlatmayı etkinleştiremezsiniz.

Yapılandırma Kılavuzu: Vm dağıtımı sırasında güvenilen başlatma etkinleştirilebilir. Sanal makine için en iyi güvenlik duruşunu sağlamak için üçünü de etkinleştirin: Güvenli Önyükleme, vTPM ve bütünlük önyüklemesi izleme. Aboneliğinizi Bulut için Microsoft Defender ekleme, belirli Azure İlkesi girişimleri atama ve güvenlik duvarı ilkelerini yapılandırma gibi birkaç önkoşul olduğunu lütfen unutmayın.

Başvuru: Güvenilir başlatma etkin bir VM dağıtma

PV-5: Güvenlik açığı değerlendirmeleri gerçekleştirme

Özellikler

Microsoft Defender kullanarak Güvenlik Açığı Değerlendirmesi

Açıklama: Bulut için Microsoft Defender veya diğer Microsoft Defender hizmetleri eklenmiş güvenlik açığı değerlendirme özelliği (sunucu, kapsayıcı kayıt defteri, App Service, SQL ve DNS için Microsoft Defender dahil) kullanılarak hizmette güvenlik açığı taraması taranabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Azure sanal makinelerinizde güvenlik açığı değerlendirmeleri gerçekleştirmek için Bulut için Microsoft Defender önerilerini izleyin.

Başvuru: Sunucular için Defender dağıtımınızı planlama

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri, güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. AuditIfNotExists, Devre Dışı 3.0.0

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri, güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. AuditIfNotExists, Devre Dışı 3.0.0

PV-6: Güvenlik açıklarını hızlı ve otomatik olarak düzeltme

Özellikler

Azure Otomasyonu Güncelleştirme Yönetimi

Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni kullanabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: En son güvenlik güncelleştirmelerinin Windows VM'lerinize yüklendiğinden emin olmak için Azure Otomasyonu Güncelleştirme Yönetimi'ni veya üçüncü taraf bir çözümü kullanın. Windows VM'leri için Windows Update etkinleştirildiğinden ve otomatik olarak güncelleştirilecek şekilde ayarlandığından emin olun.

Başvuru: VM'leriniz için güncelleştirmeleri ve düzeltme eklerini yönetme

Azure Konuk Düzeltme Eki Uygulama Hizmeti

Açıklama: Hizmet, düzeltme eklerini ve güncelleştirmeleri otomatik olarak dağıtmak için Azure Konuk Düzeltme Eki Uygulama özelliğini kullanabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Hizmetler , Otomatik İşletim Sistemi Görüntü Yükseltmeleri ve Otomatik Konuk Düzeltme Eki Uygulama gibi farklı güncelleştirme mekanizmalarından yararlanabilir. Bu özellikler, Güvenli Dağıtım İlkeleri'ni izleyerek Sanal Makinenizin Konuk İşletim Sistemi'ne en son güvenlik ve kritik güncelleştirmeleri uygulamanız için önerilir.

Otomatik Konuk Düzeltme Eki Uygulama, her ay yayımlanan Kritik ve Güvenlik güncelleştirmeleriyle güvenlik uyumluluğunu korumak için Azure sanal makinelerinizi otomatik olarak değerlendirmenize ve güncelleştirmenize olanak tanır. Güncelleştirmeler, kullanılabilirlik kümesi içindeki VM'ler dahil yoğun olmayan saatlerde uygulanır. Bu özellik VMSS Esnek Düzenleme için kullanılabilir ve gelecekte Tekdüzen Düzenleme yol haritasında destek sağlanır.

Durum bilgisi olmayan bir iş yükü çalıştırırsanız, Otomatik İşletim Sistemi Görüntü Yükseltmeleri VMSS Tekdüzeniniz için en son güncelleştirmeyi uygulamak için idealdir. Geri alma özelliğiyle bu güncelleştirmeler Market veya Özel görüntülerle uyumludur. Esnek Düzenleme yol haritasında gelecekteki sıralı yükseltme desteği.

Başvuru: Azure VM'leri için Otomatik VM Konuk Düzeltme Eki Uygulama

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Makinelerinize sistem güncelleştirmeleri yüklenmelidir Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Devre Dışı 4.0.0

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
[Önizleme]: Makinelerinize sistem güncelleştirmeleri yüklenmelidir (Güncelleştirme Merkezi tarafından desteklenir) Makinelerinizde sistem, güvenlik ve kritik güncelleştirmeler eksik. Yazılım güncelleştirmeleri genellikle güvenlik delikleri için kritik düzeltme ekleri içerir. Bu tür delikler kötü amaçlı yazılım saldırılarında sıklıkla yararlanılır, bu nedenle yazılımınızı güncel tutmak çok önemlidir. Bekleyen tüm düzeltme eklerini yüklemek ve makinelerinizin güvenliğini sağlamak için düzeltme adımlarını izleyin. AuditIfNotExists, Devre Dışı 1.0.0-önizleme

Uç nokta güvenliği

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Uç nokta güvenliği.

ES-1: Uç Nokta Algılama ve Yanıt (EDR) kullanma

Özellikler

EDR Çözümü

Açıklama: Sunucular için Azure Defender gibi Uç Nokta Algılama ve Yanıt (EDR) özelliği uç noktaya dağıtılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Sunucular için Azure Defender (Uç Nokta için Microsoft Defender tümleşik) gelişmiş tehditleri önlemeye, algılamaya, araştırmaya ve yanıtlamaya yönelik EDR özelliği sağlar. Uç noktanız için sunucular için Azure Defender'ı dağıtmak ve uyarıları Azure Sentinel gibi SIEM çözümünüzle tümleştirmek için Bulut için Microsoft Defender kullanın.

Başvuru: Sunucular için Defender dağıtımınızı planlama

ES-2: Modern kötü amaçlı yazılımdan koruma yazılımı kullanın

Özellikler

Kötü Amaçlı Yazılımdan Koruma Çözümü

Açıklama: Microsoft Defender Virüsten Koruma gibi kötü amaçlı yazılımdan koruma özelliği Uç Nokta için Microsoft Defender uç noktaya dağıtılabilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Windows Server 2016 ve üzeri için virüsten koruma için Microsoft Defender varsayılan olarak yüklenir. müşteriler Windows Server 2012 R2 ve üzeri için SCEP (System Center Endpoint Protection) yükleyebilir. Alternatif olarak, müşteriler üçüncü taraf kötü amaçlı yazılımdan koruma ürünlerini yükleme seçeneğine de sahiptir.

Başvuru: Uç Nokta için Defender Windows Server ekleme

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Devre Dışı 1.0.0

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Devre Dışı 1.0.0

ES-3: Kötü amaçlı yazılımdan koruma yazılımının ve imzalarının güncelleştirildiğinden emin olun

Özellikler

Kötü Amaçlı Yazılımdan Koruma Çözümü Sistem Durumunu İzleme

Açıklama: Kötü amaçlı yazılımdan koruma çözümü platform, altyapı ve otomatik imza güncelleştirmeleri için sistem durumu izlemesi sağlar. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Özellik notları: Güvenlik bilgileri ve ürün güncelleştirmeleri, Windows VM'lerine yüklenebilen Uç Nokta için Defender'a uygulanır.

Yapılandırma Kılavuzu: Platformun, altyapının ve imzaların hızlı ve tutarlı bir şekilde güncelleştirildiğinden ve durumlarının izlendiğinden emin olmak için kötü amaçlı yazılımdan koruma çözümünüzü yapılandırın.

Bulut izleme için Microsoft Defender

yerleşik tanımları Azure İlkesi - Microsoft.ClassicCompute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Devre Dışı 1.0.0

yerleşik tanımları Azure İlkesi - Microsoft.Compute:

Name
(Azure portal)
Description Efekt Sürüm
(GitHub)
Uç nokta koruma sistem durumu sorunları makinelerinizde çözülmelidir En son tehditlere ve güvenlik açıklarına karşı korumak için sanal makinelerinizdeki uç nokta koruma sistem durumu sorunlarını çözün. Desteklenen Azure Güvenlik Merkezi uç nokta koruma çözümleri burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Uç nokta koruma değerlendirmesi burada belgelenmiştir: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Devre Dışı 1.0.0

Yedekleme ve kurtarma

Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.

BR-1: Düzenli otomatik yedeklemelerden emin olun

Özellikler

Azure Backup

Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.

Destekleniyor Varsayılan Olarak Etkin Yapılandırma Sorumluluğu
Doğru Yanlış Müşteri

Yapılandırma Kılavuzu: Azure Backup etkinleştirin ve yedekleme kaynağını (Azure Sanal Makineler, SQL Server, HANA veritabanları veya Dosya Paylaşımları gibi) istenen sıklıkta ve istenen saklama süresiyle yapılandırın. Azure Sanal Makineler için otomatik yedeklemeleri etkinleştirmek için Azure İlkesi kullanabilirsiniz.

Başvuru: Azure'da sanal makineler için yedekleme ve geri yükleme seçenekleri

Bulut izleme için Microsoft Defender

Azure İlkesi yerleşik tanımları - Microsoft.Compute:

Name
(Azure portal)
Description Efekt(ler) Sürüm
(GitHub)
Sanal Makineler için Azure Backup etkinleştirilmelidir Azure Backup etkinleştirerek Azure Sanal Makineler korumasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. AuditIfNotExists, Devre Dışı 3.0.0

Sonraki adımlar