Předdefinované definice služby Azure Policy pro Azure Resource Manager
Tato stránka je indexem předdefinovaných definic zásad služby Azure Policy pro Azure Resource Manager. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure Resource Manager
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Protokol aktivit by se měl uchovávat alespoň po dobu jednoho roku. | Tato zásada audituje protokol aktivit, pokud se uchovávání nenastaví po dobu 365 dnů nebo navždy (doba uchovávání je nastavená na 0). | AuditIfNotExists, zakázáno | 1.0.0 |
Přidat značku do skupin prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky přidají zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. | modify (úprava) | 1.0.0 |
Přidání značky k předplatným | Přidá zadanou značku a hodnotu do předplatných prostřednictvím úlohy nápravy. Pokud daná značka existuje, ale s jinou hodnotou, nezmění se. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
Přidat nebo nahradit značku ve skupinách prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků přidají nebo nahradí zadanou značku a hodnotu. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. | modify (úprava) | 1.0.0 |
Přidání nebo nahrazení značky u předplatných | Přidá nebo nahradí zadanou značku a hodnotu u předplatných prostřednictvím úlohy nápravy. Stávající skupiny prostředků je možné napravit aktivací úlohy nápravy. Další https://aka.ms/azurepolicyremediation informace o nápravězásadch | modify (úprava) | 1.0.0 |
Povolená umístění pro skupiny prostředků | Tato zásada umožňuje omezit umístění, ve kterých může vaše organizace vytvářet skupiny prostředků. Můžete je využít k vynucování vašich požadavků na geografické dodržování předpisů. | deny | 1.0.0 |
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Připojit značku a její hodnotu ke skupinám prostředků | Tyto zásady při vytvoření nebo aktualizaci jakékoli skupiny prostředků bez zadané značky připojí zadanou značku a hodnotu. Tyto zásady neupravují značky skupin prostředků vytvořené před použitím těchto zásad, dokud nedojde ke změně těchto skupin prostředků. K dispozici jsou nové zásady účinku úpravy, které podporují nápravu značek u existujících prostředků (viz https://aka.ms/modifydoc). | připojit | 1.0.0 |
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
Azure Defender pro opensourcové relační databáze by měl být povolený. | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Profil protokolu služby Azure Monitor by měl shromažďovat protokoly pro kategorie Zápis, Odstranění a Akce. | Tato zásada zajišťuje, že profil protokolu shromažďuje protokoly pro kategorie write, delete a action. | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Monitor by měl shromažďovat protokoly aktivit ze všech oblastí. | Tato zásada audituje profil protokolu služby Azure Monitor, který neexportuje aktivity ze všech podpora Azure oblastí, včetně globálních. | AuditIfNotExists, zakázáno | 2.0.0 |
Řešení Azure Monitoru Zabezpečení a audit musí být nasazené. | Tato zásada zajišťuje nasazení zabezpečení a auditu. | AuditIfNotExists, zakázáno | 1.0.0 |
Předplatná Azure by měla mít profil protokolu pro protokol aktivit. | Tato zásada zajišťuje, že je povolený profil protokolu pro export protokolů aktivit. Provede audit, pokud není vytvořený žádný profil protokolu pro export protokolů do účtu úložiště nebo do centra událostí. | AuditIfNotExists, zakázáno | 1.0.0 |
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Konfigurace protokolů aktivit Azure pro streamování do zadaného pracovního prostoru služby Log Analytics | Nasadí nastavení diagnostiky pro aktivitu Azure pro streamování protokolů auditu předplatných do pracovního prostoru služby Log Analytics za účelem monitorování událostí na úrovni předplatného. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace aktivace Azure Defender for App Service | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci databáze Azure SQL | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci opensourcových relačních databází | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace aktivace Azure Defender pro Resource Manager | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace aktivace Azure Defender pro servery | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci SQL serverů na počítačích | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace základního programu Microsoft Defender pro úložiště tak, aby byla povolená (pouze monitorování aktivit) | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí základní možnosti Defenderu pro úložiště (monitorování aktivit). Pokud chcete povolit úplnou ochranu, která zahrnuje také kontrolu malwaru při nahrávání a detekci citlivých dat, použijte úplnou zásadu povolení: aka.ms/DefenderForStoragePolicy. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace zotavení po havárii na virtuálních počítačích povolením replikace přes Azure Site Recovery | Virtuální počítače bez konfigurací zotavení po havárii jsou ohroženy výpadky a dalšími přerušeními. Pokud virtuální počítač ještě nemá nakonfigurované zotavení po havárii, zahájí se to tak, že povolíte replikaci pomocí přednastavených konfigurací, aby se usnadnila kontinuita podnikových procesů. Volitelně můžete zahrnout nebo vyloučit virtuální počítače obsahující zadanou značku, abyste mohli řídit rozsah přiřazení. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | DeployIfNotExists, zakázáno | 2.1.0 |
Konfigurace pracovního prostoru služby Log Analytics a účtu automation pro centralizaci protokolů a monitorování | Nasaďte skupinu prostředků obsahující pracovní prostor služby Log Analytics a propojený účet Automation, abyste mohli centralizovat protokoly a monitorování. Účet Automation je aprerequisite pro řešení, jako jsou aktualizace a řešení Change Tracking. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
Konfigurace plánu CSPM v programu Microsoft Defender | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace povolení plánu Microsoft Defender CSPM | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.2 |
Konfigurace aktivace Microsoft Defender for Azure Cosmos DB | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace plánu Microsoft Defender for Containers | Do plánu Defender for Containers se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace povolení Microsoft Defenderu pro kontejnery | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí programu Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označovaného také jako WDATP_EXCLUDE_LINUX_...) pro povolení automatického zřizování MDE pro servery s Linuxem. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí Microsoft Defenderu pro cloud (WDATP_UNIFIED_SOLUTION) | Nakonfiguruje nastavení integrace Microsoft Defenderu pro koncový bod v rámci programu Microsoft Defender for Cloud (označované také jako WDATP_UNIFIED_SOLUTION) pro povolení automatického zřizování sjednoceného agenta MDE pro Windows Server 2012R2 a 2016. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace nastavení integrace Microsoft Defenderu for Endpoint pomocí programu Microsoft Defender for Cloud (WDATP) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označované také jako WDATP), pro počítače s nižší úrovní Windows, které jsou nasazené do MDE prostřednictvím MMA, a automatické zřizování MDE ve Windows Serveru 2019 , Windows Virtual Desktopu a novějších verzích. Aby ostatní nastavení (WDATP_UNIFIED atd.) fungovala, musí být zapnutá. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace plánu Služby Key Vault v programu Microsoft Defender for Key Vault | Microsoft Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace plánu Microsoft Defenderu pro servery | Do Defenderu pro servery se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Nakonfigurujte microsoft Defender pro úložiště (Classic) tak, aby byl povolený. | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.2 |
Konfigurace služby Microsoft Defender pro úložiště, která se má povolit | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí všechny možnosti Defenderu pro úložiště; Monitorování aktivit, kontrola malwaru a detekce citlivých dat. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.4.0 |
Konfigurace ochrany před hrozbami v programu Microsoft Defender pro úlohy AI | Nové funkce se neustále přidávají do ochrany před hrozbami pro úlohy umělé inteligence, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace předplatných pro nastavení funkcí ve verzi Preview | Tato zásada vyhodnocuje funkce preview stávajícího předplatného. Předplatná je možné napravit, aby se zaregistrovala k nové funkci Preview. Nová předplatná se nebudou automaticky registrovat. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
Nasazení – Konfigurace pravidel potlačení pro výstrahy služby Azure Security Center | Potlačte upozornění služby Azure Security Center, abyste snížili únavu výstrah nasazením pravidel potlačení ve vaší skupině pro správu nebo předplatném. | deployIfNotExists | 1.0.0 |
Nasazení exportu do centra událostí jako důvěryhodné služby pro data Microsoft Defenderu pro cloud | Povolte export do centra událostí jako důvěryhodnou službu Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do centra událostí jako konfiguraci důvěryhodné služby s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | DeployIfNotExists, zakázáno | 1.0.0 |
Nasazení exportu do centra událostí pro data Microsoft Defenderu pro cloud | Povolení exportu do centra událostí Microsoft Defenderu pro cloudová data Tato zásada nasadí export do konfigurace centra událostí s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.2.0 |
Nasazení exportu do pracovního prostoru služby Log Analytics pro data Microsoft Defenderu pro cloud | Povolte export do pracovního prostoru Služby Log Analytics v Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do konfigurace pracovního prostoru služby Log Analytics s vašimi podmínkami a cílovým pracovním prostorem v přiřazeným oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.1.0 |
Nasazení automatizace pracovních postupů pro upozornění Microsoft Defenderu pro cloud | Povolte automatizaci upozornění Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
Nasazení automatizace pracovních postupů pro doporučení Microsoft Defenderu pro cloud | Povolte automatizaci doporučení Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
Nasazení automatizace pracovních postupů pro Microsoft Defender pro dodržování právních předpisů v cloudu | Povolte automatizaci dodržování právních předpisů v programu Microsoft Defender pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
Povolení Microsoft Defenderu pro cloud ve vašem předplatném | Identifikuje existující předplatná, která nejsou monitorována programem Microsoft Defender for Cloud, a chrání je pomocí bezplatných funkcí Defenderu pro cloud. Předplatná, která už jsou monitorovaná, budou považována za vyhovující. Pokud chcete zaregistrovat nově vytvořená předplatná, otevřete kartu dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 1.0.1 |
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s vlastním pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných pro monitorování a shromažďování dat zabezpečení pomocí vlastního pracovního prostoru. | DeployIfNotExists, zakázáno | 1.0.0 |
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s výchozím pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných, abyste mohli monitorovat a shromažďovat data zabezpečení pomocí výchozího pracovního prostoru ASC. | DeployIfNotExists, zakázáno | 1.0.0 |
Povolení ochrany před hrozbami pro úlohy AI | Ochrana před hrozbami Microsoftu pro úlohy AI poskytuje kontextové výstrahy zabezpečení založené na důkazech zaměřené na ochranu aplikací využívajících domácí generační AI. | DeployIfNotExists, zakázáno | 1.0.0 |
Vyloučení prostředků nákladů na využití | Tato zásada umožňuje zobrazit zdroje nákladů na využití. Náklady na využití zahrnují například měřené úložiště a prostředky Azure, které se účtují na základě využití. | Audit, Odepřít, Zakázáno | 1.0.0 |
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Funkce CSPM v programu Microsoft Defender by měla být povolená. | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená rozhraní MICROSOFT Defender for API. | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí pro monitorování běžných útoků založených na rozhraní API a chybných konfigurací zabezpečení. | AuditIfNotExists, zakázáno | 1.0.3 |
Měla by být povolená služba Microsoft Defender pro službu Azure Cosmos DB. | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
Vyžadovat značku a její hodnotu ve skupinách prostředků | Tyto zásady vynucují požadovanou značku a její hodnotu ve skupinách prostředků. | deny | 1.0.0 |
Vyžadovat značku ve skupinách prostředků | Tyto zásady vynucují existenci značky ve skupinách prostředků. | deny | 1.0.0 |
Nastavení předplatných pro přechod na alternativní řešení posouzení ohrožení zabezpečení | Microsoft Defender pro cloud nabízí kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Povolení této zásady způsobí, že Defender for Cloud automaticky rozšíří zjištění z integrovaného řešení správa ohrožení zabezpečení Microsoft Defenderu do všech podporovaných počítačů. | DeployIfNotExists, zakázáno | 1.0.0-preview |
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.