Předdefinované definice služby Azure Policy pro Microsoft Defender pro cloud
Tato stránka je indexem předdefinovaných definic zásad azure Policy souvisejících s Microsoft Defenderem pro cloud. K dispozici jsou následující seskupení definic zásad:
- Skupina iniciativ vypíše definice iniciativy Azure Policy v kategorii Defender for Cloud.
- Výchozí skupina iniciativ obsahuje seznam všech definic Azure Policy, které jsou součástí výchozí iniciativy Defenderu for Cloud, srovnávacího testu zabezpečení cloudu Microsoftu. Tento srovnávací test vytvořený microsoftem, který je široce respektovaný, vychází z kontrolních mechanismů z centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.
- Skupina kategorií obsahuje seznam všech definic Azure Policy v kategorii Defender for Cloud.
Další informace o zásadách zabezpečení najdete v tématu Práce se zásadami zabezpečení. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Iniciativy Microsoft Defenderu pro cloud
Informace o předdefinovaných iniciativách, které monitoruje Defender for Cloud, najdete v následující tabulce:
Název | Popis | Zásady | Verze |
---|---|---|---|
[Preview]: Nasazení agenta Microsoft Defenderu for Endpoint | Nasaďte agenta Microsoft Defenderu for Endpoint na příslušné image. | 4 | 1.0.0-preview |
Konfigurace rozšířené ochrany před internetovými útoky tak, aby byla povolená u opensourcových relačních databází | Povolte rozšířenou ochranu před internetovými útoky na opensourcové relační databáze mimo úroveň Basic a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Viz třída https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Konfigurace azure Defenderu tak, aby byla povolená na SQL Serverech a ve spravovaných instancích SQL | Povolte Azure Defender na vašich SQL Serverech a spravovaných instancích SQL a detekujte neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | 3 | 3.0.0 |
Konfigurace plánů Microsoft Defenderu pro cloud | Microsoft Defender for Cloud poskytuje komplexní nativní ochranu pro cloud od vývoje po modul runtime v prostředích s více cloudy. Pomocí iniciativy zásad nakonfigurujte Defender pro cloudové plány a rozšíření tak, aby byly povolené u vybraných oborů. | 11 | 1.0.0 |
Konfigurace služby Microsoft Defender pro databáze, která se má povolit | Nakonfigurujte Microsoft Defender pro databáze tak, aby chránil vaše služby Azure SQL Database, spravované instance, opensourcové relační databáze a Cosmos DB. | 4 | 1.0.0 |
Konfigurace několika nastavení integrace Microsoft Defenderu pro koncové body pomocí Microsoft Defenderu pro cloud | Nakonfigurujte několik nastavení integrace Microsoft Defenderu for Endpoint pomocí programu Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION atd.). Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
Konfigurace virtuálních počítačů SQL a SQL Serverů s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | 9 | 1.3.0 |
Konfigurace virtuálních počítačů SQL a SQL Serverů s podporou arc pro instalaci Microsoft Defenderu pro SQL a AMA s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender pro SQL shromažďuje události z agentů a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | 8 | 1.2.0 |
Srovnávací test zabezpečení cloudu Microsoftu | Iniciativa srovnávacích testů zabezpečení cloudu Microsoftu představuje zásady a kontrolní mechanismy, které implementuje doporučení zabezpečení definovaná v srovnávacím testu zabezpečení cloudu Microsoftu, viz https://aka.ms/azsecbm. Slouží také jako iniciativa výchozích zásad v programu Microsoft Defender for Cloud. Tuto iniciativu můžete přímo přiřadit nebo spravovat její zásady a výsledky dodržování předpisů v programu Microsoft Defender for Cloud. | 228 | 57.45.0 |
Výchozí iniciativa Defenderu for Cloud (srovnávací test zabezpečení cloudu Microsoftu)
Informace o předdefinovaných zásadách, které monitoruje Defender for Cloud, najdete v následující tabulce:
Název zásady (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
[Preview]: Flexibilní server Azure PostgreSQL by měl mít povolené ověřování Pouze Microsoft Entra. | Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server Azure PostgreSQL byl přístupný výhradně identitami Microsoft Entra. | Audit, zakázáno | 1.0.0-preview |
[Preview]: Servery Azure Stack HCI by měly mít konzistentně vynucené zásady řízení aplikací. | Minimálně použijte základní zásadu Microsoft WDAC v vynuceném režimu na všech serverech Azure Stack HCI. Použité zásady řízení aplikací v programu Windows Defender (WDAC) musí být konzistentní na serverech ve stejném clusteru. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
[Preview]: Servery Azure Stack HCI by měly splňovat požadavky na zabezpečené jádro. | Ujistěte se, že všechny servery Azure Stack HCI splňují požadavky na zabezpečené jádro. Povolení požadavků na server se zabezpečeným jádrem: 1. Na stránce clusterů Azure Stack HCI přejděte do Centra pro správu Windows a vyberte Připojit. 2. Přejděte na rozšíření Zabezpečení a vyberte Zabezpečené jádro. 3. Vyberte libovolné nastavení, které není povoleno, a klikněte na Povolit. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
[Preview]: Systémy Azure Stack HCI by měly mít šifrované svazky. | Pomocí BitLockeru můžete šifrovat operační systém a datové svazky v systémech Azure Stack HCI. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, zakázáno | 6.0.0-preview |
[Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, zakázáno | 5.1.0-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | AuditIfNotExists, zakázáno | 4.0.0-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. | AuditIfNotExists, zakázáno | 3.1.0-preview |
[Preview]: Sítě hostitelů a virtuálních počítačů by měly být chráněné v systémech Azure Stack HCI. | Ochrana dat v Azure Stack HCI hostuje síť a připojení k síti virtuálních počítačů. | Audit, zakázáno, AuditIfNotExists | 1.0.0-preview |
[Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
[Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | Audit, zakázáno | 4.0.0-preview |
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
[Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, zakázáno | 2.0.0-preview |
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
Pro servery MySQL by měl být zřízen správce Microsoft Entra. | Audit zřizování správce Microsoft Entra pro váš server MySQL za účelem povolení ověřování Microsoft Entra. Ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.1.1 |
Správce Microsoft Entra by měl být zřízený pro servery PostgreSQL. | Audit zřizování správce Microsoft Entra pro váš server PostgreSQL za účelem povolení ověřování Microsoft Entra. Ověřování Microsoft Entra umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.1 |
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. | Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, zakázáno | 1.0.1 |
Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, nepoužívané a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, zakázáno | 1.0.1 |
Rozhraní API služby API Management by měla používat pouze šifrované protokoly. | Aby se zajistilo zabezpečení přenášených dat, měla by být rozhraní API dostupná pouze prostřednictvím šifrovaných protokolů, jako je HTTPS nebo WSS. Nepoužívejte nezabezpečené protokoly, například HTTP nebo WS. | Audit, Zakázáno, Odepřít | 2.0.2 |
Je potřeba ověřit volání služby API Management do back-endů rozhraní API. | Volání ze služby API Management do back-endů by měla používat určitou formu ověřování, ať už prostřednictvím certifikátů nebo přihlašovacích údajů. Nevztahuje se na back-endy Service Fabric. | Audit, Zakázáno, Odepřít | 1.0.1 |
Volání služby API Management do back-endů rozhraní API by neměla obcházet kryptografický otisk certifikátu ani ověřování názvů. | Aby se zlepšilo zabezpečení rozhraní API, služba API Management by měla ověřit certifikát back-endového serveru pro všechna volání rozhraní API. Povolte kryptografický otisk certifikátu SSL a ověření názvu. | Audit, Zakázáno, Odepřít | 1.0.2 |
Koncový bod přímé správy služby API Management by neměl být povolený. | Rozhraní REST API pro přímou správu ve službě Azure API Management obchází mechanismy řízení přístupu, autorizace a omezování na základě role v Azure Resource Manageru, což zvyšuje ohrožení zabezpečení vaší služby. | Audit, Zakázáno, Odepřít | 1.0.2 |
Minimální verze rozhraní API služby API Management by měla být nastavená na 12. 12. 2019 nebo vyšší. | Aby se zabránilo sdílení tajných kódů služeb s uživateli jen pro čtení, měla by být minimální verze rozhraní API nastavená na 12. 12. 2019 nebo vyšší. | Audit, Odepřít, Zakázáno | 1.0.1 |
Tajné klíče služby API Management s názvem hodnoty by měly být uložené ve službě Azure Key Vault. | Pojmenované hodnoty jsou kolekce dvojic názvů a hodnot v každé službě API Management. Hodnoty tajných kódů je možné uložit jako šifrovaný text ve službě API Management (vlastní tajné kódy) nebo odkazovat na tajné kódy ve službě Azure Key Vault. Pokud chcete zlepšit zabezpečení služby API Management a tajných kódů, odkazování na hodnoty pojmenovaných tajných kódů ze služby Azure Key Vault. Azure Key Vault podporuje podrobnou správu přístupu a zásady obměny tajných kódů. | Audit, Zakázáno, Odepřít | 1.0.2 |
Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
Služba API Management by měla zakázat přístup k veřejným síťovým koncovým bodům konfigurace služby. | Pokud chcete zlepšit zabezpečení služeb API Management, omezte připojení ke koncovým bodům konfigurace služby, jako jsou rozhraní API pro správu přímého přístupu, koncový bod správy konfigurace Gitu nebo koncový bod konfigurace brány v místním prostředí. | AuditIfNotExists, zakázáno | 1.0.1 |
Předplatná služby API Management by neměla být vymezena na všechna rozhraní API. | Předplatná služby API Management by měla být vymezena na produkt nebo jednotlivé rozhraní API místo na všechna rozhraní API, což by mohlo vést k nadměrnému vystavení dat. | Audit, Zakázáno, Odepřít | 1.1.0 |
Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.1.0 |
Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
Prostředky azure AI Services by měly používat Službu Azure Private Link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link snižuje riziko úniku dat tím, že zpracovává propojení mezi spotřebitelem a službami přes páteřní síť Azure. Další informace o privátních propojeních najdete tady: https://aka.ms/AzurePrivateLink/Overview | Audit, zakázáno | 1.0.0 |
Verze platformy Azure API Management by měla být stv2 | Verze výpočetní platformy Azure API Management stv1 bude vyřazena od 31. srpna 2024 a tyto instance by se měly migrovat na výpočetní platformu stv2 pro pokračování podpory. Další informace najdete na adrese https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Odepřít, Zakázáno | 1.0.0 |
Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy. | Rozšíření Azure Policy pro Azure Arc poskytuje vynucování a zabezpečení ve vašich clusterech Kubernetes s podporou Arc centralizovaným konzistentním způsobem. Další informace najdete na adrese https://aka.ms/akspolicydoc. | AuditIfNotExists, zakázáno | 1.1.0 |
Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
Azure Cosmos DB by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajistí, aby váš účet CosmosDB nebyl vystavený na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vašeho účtu CosmosDB. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Odepřít, Zakázáno | 1.0.0 |
Clustery Azure Databricks by měly zakázat veřejnou IP adresu. | Zakázání veřejné IP adresy clusterů v pracovních prostorech Azure Databricks zlepšuje zabezpečení tím, že zajišťuje, že clustery nejsou zveřejněné na veřejném internetu. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Odepřít, Zakázáno | 1.0.1 |
Pracovní prostory Azure Databricks by měly být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci pracovních prostorů Azure Databricks, podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Další informace najdete tady: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Odepřít, Zakázáno | 1.0.2 |
Pracovní prostory Azure Databricks by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že prostředek není vystavený na veřejném internetu. Vystavení prostředků můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Odepřít, Zakázáno | 1.0.1 |
Pracovní prostory Azure Databricks by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Azure Databricks můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/adbpe. | Audit, zakázáno | 1.0.2 |
Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
Azure Defender pro opensourcové relační databáze by měl být povolený. | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
Pro nechráněné flexibilní servery MySQL by měl být povolený Azure Defender pro SQL. | Audit flexibilních serverů MySQL bez Advanced Data Security | AuditIfNotExists, zakázáno | 1.0.0 |
Pro nechráněné flexibilní servery PostgreSQL by měl být povolený Azure Defender pro SQL. | Audit flexibilních serverů PostgreSQL bez Advanced Data Security | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu. | Microsoft Defender for Containers poskytuje možnosti zabezpečení Kubernetes nativní pro cloud, včetně posílení zabezpečení prostředí, ochrany úloh a ochrany za běhu. Když v clusteru Azure Kubernetes Service povolíte SecurityProfile.AzureDefender, nasadí se do clusteru agent, který bude shromažďovat data událostí zabezpečení. Další informace o programu Microsoft Defender for Containers v https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, zakázáno | 2.0.1 |
Výpočetní instance služby Azure Machine Learning by se měly znovu vytvořit, aby se získaly nejnovější aktualizace softwaru. | Ujistěte se, že výpočetní instance služby Azure Machine Learning běží v nejnovějším dostupném operačním systému. Vylepšili jsme zabezpečení a snížili jsme ohrožení zabezpečení spuštěním nejnovějších oprav zabezpečení. Další informace najdete na adrese https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Výpočetní prostředky služby Azure Machine Learning by měly být ve virtuální síti. | Virtuální sítě Azure poskytují lepší zabezpečení a izolaci výpočetních clusterů a instancí služby Azure Machine Learning a také podsítě, zásady řízení přístupu a další funkce pro další omezení přístupu. Pokud je výpočetní výkon nakonfigurovaný s virtuální sítí, není veřejně adresovatelný a dá se k němu přistupovat jenom z virtuálních počítačů a aplikací v rámci virtuální sítě. | Audit, zakázáno | 1.0.1 |
Výpočetní prostředky služby Azure Machine Learning by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby výpočty služby Machine Learning vyžadovaly výhradně identity Azure Active Directory pro ověřování. Další informace najdete tady: https://aka.ms/azure-ml-aad-policy. | Audit, Odepřít, Zakázáno | 2.1.0 |
Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.1.0 |
Pracovní prostory služby Azure Machine Learning by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, že pracovní prostory služby Machine Learning nejsou přístupné na veřejném internetu. Vystavení pracovních prostorů můžete řídit vytvořením privátních koncových bodů. Další informace najdete tady: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Odepřít, Zakázáno | 2.0.1 |
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
Flexibilní server Azure MySQL by měl mít povoleno pouze ověřování Microsoft Entra Only | Zakázání místních metod ověřování a povolení pouze ověřování Microsoft Entra zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní server Azure MySQL byl přístupný výhradně identitami Microsoft Entra. | AuditIfNotExists, zakázáno | 1.0.1 |
Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | AuditIfNotExists, zakázáno | 1.0.1 |
Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, zakázáno | 1.0.1 |
Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
Služba Azure SQL Database by měla používat protokol TLS verze 1.2 nebo novější. | Nastavení verze protokolu TLS na verzi 1.2 nebo novější zlepšuje zabezpečení tím, že zajišťuje, že k Azure SQL Database bude možné přistupovat pouze z klientů pomocí protokolu TLS 1.2 nebo novějšího. Použití verzí protokolu TLS menší než 1.2 se nedoporučuje, protože obsahují dobře zdokumentovaná ohrožení zabezpečení. | Audit, Zakázáno, Odepřít | 2.0.0 |
Azure SQL Database by měl mít povolené ověřování pouze Microsoft Entra-only | Vyžadovat, aby logické servery Azure SQL používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření serverů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
Azure SQL Database by při vytváření mělo mít povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se logické servery Azure SQL vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
Spravovaná instance Azure SQL by měla mít povolené ověřování microsoft Entra-only | Vyžadovat, aby spravovaná instance Azure SQL používala ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření spravovaných instancí Azure SQL s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.0.0 |
Spravované instance Azure SQL by měly zakázat přístup k veřejné síti. | Zakázání veřejného síťového přístupu (veřejného koncového bodu) ve službě Azure SQL Managed Instances zlepšuje zabezpečení tím, že zajišťuje, aby k nim bylo možné přistupovat pouze z virtuálních sítí nebo prostřednictvím privátních koncových bodů. Další informace o přístupu k veřejné síti najdete v tématu https://aka.ms/mi-public-endpoint. | Audit, Odepřít, Zakázáno | 1.0.0 |
Při vytváření by měly mít spravované instance Azure SQL povolené ověřování Microsoft Entra-only. | Vyžadovat, aby se vytvořila spravovaná instance Azure SQL s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/adonlycreate. | Audit, Odepřít, Zakázáno | 1.2.0 |
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
Databázové účty Cosmos DB by měly mít zakázané místní metody ověřování. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby databázové účty Cosmos DB k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Odepřít, Zakázáno | 1.1.0 |
Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
Diagnostické protokoly v prostředcích služeb Azure AI by měly být povolené. | Povolte protokoly pro prostředky služeb Azure AI. To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, když dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.1.0 |
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 4.2.0 |
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
Virtuální počítače s Linuxem by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.2.1 |
Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Odepřít, Zakázáno | 3.7.0 |
Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, zakázáno | 1.0.2 |
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
Funkce CSPM v programu Microsoft Defender by měla být povolená. | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená rozhraní MICROSOFT Defender for API. | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí pro monitorování běžných útoků založených na rozhraní API a chybných konfigurací zabezpečení. | AuditIfNotExists, zakázáno | 1.0.3 |
Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
U nechráněných pracovních prostorů Synapse by měl být povolený Microsoft Defender pro SQL. | Povolte Defender for SQL k ochraně pracovních prostorů Synapse. Defender for SQL monitoruje synapse SQL a zjišťuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.0 |
Stav Microsoft Defenderu pro SQL by měl být chráněný pro SQL servery s podporou Arc. | Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL, zjišťování a klasifikaci citlivých dat. Po povolení stav ochrany znamená, že se prostředek aktivně monitoruje. I když je defender povolený, musí být na agentu, počítači, pracovním prostoru a SQL Serveru ověřeno více nastavení konfigurace, aby se zajistila aktivní ochrana. | Audit, zakázáno | 1.0.1 |
Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků v pracovních prostorech Azure Databricks by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Protokoly prostředků ve službě Azure Kubernetes Service by měly být povolené. | Protokoly prostředků služby Azure Kubernetes Service můžou pomoct znovu vytvořit záznamy aktivit při vyšetřování incidentů zabezpečení. Povolte ho, abyste měli jistotu, že protokoly budou existovat v případě potřeby. | AuditIfNotExists, zakázáno | 1.0.0 |
Protokoly prostředků v pracovních prostorech služby Azure Machine Learning by měly být povolené. | Protokoly prostředků umožňují znovu vytvořit trasu aktivit, která se má použít pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.1 |
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.4 |
Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
Automatické zřizování cílené na SQL server by mělo být povolené pro sql servery v plánu počítačů. | Pokud chcete zajistit ochranu virtuálních počítačů SQL a SQL Serverů s podporou arc, ujistěte se, že je agent monitorování Azure cílený na SQL nakonfigurovaný tak, aby se automaticky nasazoval. To je také nezbytné, pokud jste dříve nakonfigurovali automatické zřizování agenta Microsoft Monitoring Agent, protože tato komponenta je zastaralá. Víc se uč: https://aka.ms/SQLAMAMigration | AuditIfNotExists, zakázáno | 1.0.0 |
Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Účty úložiště by měly zabránit přístupu ke sdíleným klíčům | Audit požadavků azure Active Directory (Azure AD) na autorizaci požadavků na váš účet úložiště Ve výchozím nastavení je možné žádosti autorizovat pomocí přihlašovacích údajů Azure Active Directory nebo pomocí přístupového klíče účtu pro autorizaci sdíleného klíče. Z těchto dvou typů autorizace nabízí autorizace přes Azure AD vyšší zabezpečení a snadnější použití než autorizace pomocí sdíleného klíče, a proto ji Microsoft doporučuje. | Audit, Odepřít, Zakázáno | 2.0.0 |
Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Pracovní prostory Synapse by měly mít povolené ověřování pouze Microsoft Entra. | Vyžadovat, aby pracovní prostory Synapse používaly ověřování pouze Microsoft Entra. Tato zásada neblokuje vytváření pracovních prostorů s povoleným místním ověřováním. Po vytvoření blokuje povolení místního ověřování u prostředků. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.0.0 |
Pracovní prostory Synapse by měly při vytváření pracovního prostoru používat pouze identity Microsoft Entra pro ověřování. | Vyžadovat, aby se pracovní prostory Synapse vytvořily s ověřováním pouze Microsoft Entra. Tato zásada neblokuje opětovné povolení místního ověřování u prostředků po vytvoření. Místo toho zvažte použití iniciativy Ověřování pouze microsoftu entra-only, abyste vyžadovali obojí. Další informace najdete tady: https://aka.ms/Synapse. | Audit, Odepřít, Zakázáno | 1.2.0 |
Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.1 |
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Brány VPN by měly používat pouze ověřování Azure Active Directory (Azure AD) pro uživatele typu point-to-site. | Zakázání místních metod ověřování zlepšuje zabezpečení tím, že brány VPN Gateway k ověřování používají pouze identity Azure Active Directory. Další informace o ověřování Azure AD najdete na adrese https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Odepřít, Zakázáno | 1.0.0 |
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
Virtuální počítače s Windows by měly povolit službu Azure Disk Encryption nebo EncryptionAtHost. | I když jsou disky s operačním systémem a datovými disky virtuálního počítače ve výchozím nastavení šifrované pomocí klíčů spravovaných platformou; Disky prostředků (dočasné disky), mezipaměti dat a tok dat mezi výpočetními prostředky a prostředky úložiště nejsou šifrované. K nápravě použijte Azure Disk Encryption nebo EncryptionAtHost. Navštivte https://aka.ms/diskencryptioncomparison stránku s porovnáním nabídek šifrování. Tato zásada vyžaduje, aby se do oboru přiřazení zásad nasadily dva předpoklady. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.1.1 |
Kategorie Microsoft Defenderu pro cloud
Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
---|---|---|---|
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Linuxem Arc. | Nainstalujte na počítače s Linuxem Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte na škálovací sady virtuálních počítačů s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Nainstalujte na virtuální počítače s Linuxem agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný na počítačích s Windows Arc. | Nainstalujte na počítače s Windows Arc agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný ve škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte na škálovací sady virtuálních počítačů s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
[Preview]: Agent zabezpečení Azure by měl být nainstalovaný na virtuálních počítačích s Windows. | Nainstalujte na virtuální počítače s Windows agenta zabezpečení Azure, abyste mohli monitorovat konfigurace zabezpečení a ohrožení zabezpečení vašich počítačů. Výsledky posouzení se dají zobrazit a spravovat ve službě Azure Security Center. | AuditIfNotExists, zakázáno | 2.1.0-preview |
[Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na počítač s Linuxem Arc | Nainstalujte rozšíření ChangeTracking na počítače s Linuxem Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Linuxem. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Rozšíření ChangeTracking by mělo být nainstalované ve škálovacích sadách virtuálních počítačů s Linuxem. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Linuxem, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Rozšíření ChangeTracking by mělo být nainstalované na počítači s Windows Arc | Nainstalujte rozšíření ChangeTracking na počítače s Windows Arc, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Rozšíření ChangeTracking by se mělo nainstalovat na virtuální počítač s Windows. | Nainstalujte rozšíření ChangeTracking na virtuální počítače s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Rozšíření ChangeTracking by se mělo nainstalovat do škálovacích sad virtuálních počítačů s Windows. | Nainstalujte rozšíření ChangeTracking ve škálovacích sadách virtuálních počítačů s Windows, abyste povolili monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem Azure Monitoring Agent. | AuditIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace agenta Azure Defenderu pro SQL na virtuálním počítači | Nakonfigurujte počítače s Windows tak, aby automaticky nainstalovaly agenta Azure Defenderu pro SQL, na kterém je nainstalovaný agent služby Azure Monitor. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvoří skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Linuxem Arc | Nakonfigurujte počítače s Linuxem Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Linuxem | Nakonfigurujte škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Linuxem | Nakonfigurujte virtuální počítače s Linuxem tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro počítače s Windows Arc | Nakonfigurujte počítače s Windows Arc tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro škálovací sady virtuálních počítačů s Windows | Nakonfigurujte škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace rozšíření ChangeTracking pro virtuální počítače s Windows | Nakonfigurujte virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření ChangeTracking, aby bylo možné povolit monitorování integrity souborů (FIM) ve službě Azure Security Center. FIM zkoumá soubory operačního systému, registry Windows, aplikační software, systémové soubory Linuxu a další informace o změnách, které by mohly znamenat útok. Rozšíření je možné nainstalovat do virtuálních počítačů a umístění podporovaných agentem služby Azure Monitor. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace podporovaných počítačů s Linuxem Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Linuxem Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače Se systémem Linux Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Linuxem tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 6.1.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Linuxem, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám ve spouštěcím řetězu. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 5.0.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované virtuální počítače s Linuxem tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 7.0.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů s Linuxem pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Linuxem, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 7.1.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů pro automatické povolení virtuálního počítače vTPM | Nakonfigurujte podporované virtuální počítače tak, aby automaticky povolovali virtuální počítače vTPM, aby usnadnily měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace podporovaných počítačů s Windows Arc pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows Arc tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové počítače s Windows Arc musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Konfigurace podporovaných počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované počítače s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové virtuální počítače musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 5.1.0-preview |
[Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci agenta zabezpečení Azure | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly agenta zabezpečení Azure. Security Center shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Cílové škálovací sady virtuálních počítačů s Windows musí být v podporovaném umístění. | DeployIfNotExists, zakázáno | 2.1.0-preview |
[Preview]: Konfigurace podporovaných škálovacích sad virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované škálovací sady virtuálních počítačů s Windows tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 4.1.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatické povolení zabezpečeného spouštění | Nakonfigurujte podporované virtuální počítače s Windows, aby se automatické povolení zabezpečeného spouštění zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. | DeployIfNotExists, zakázáno | 3.0.0-preview |
[Preview]: Konfigurace podporovaných virtuálních počítačů s Windows pro automatickou instalaci rozšíření Ověření identity hosta | Nakonfigurujte podporované virtuální počítače s Windows tak, aby automaticky nainstalovaly rozšíření Ověření hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 5.1.0-preview |
[Preview]: Konfigurace virtuálníchpočítačůch | Nakonfigurujte virtuální počítače vytvořené pomocí imagí Sdílené galerie imagí tak, aby automaticky nainstalovaly rozšíření Ověření identity hosta, aby služba Azure Security Center mohla proaktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.0.0-preview |
[Preview]: Konfigurace VMSS vytvořené pomocí imagí sdílené galerie imagí image pro instalaci rozšíření Ověření identity hosta | Nakonfigurujte službu VMSS vytvořenou pomocí imagí sdílené galerie imagí, aby automaticky nainstalovala rozšíření Ověření identity hosta, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Integrita spouštění se ověřuje prostřednictvím vzdáleného ověření identity. | DeployIfNotExists, zakázáno | 2.1.0-preview |
[Preview]: Nasazení agenta Microsoft Defender for Endpoint na hybridních počítačích s Linuxem | Nasadí agenta Microsoft Defender for Endpoint na hybridní počítače s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Linuxem | Nasadí agenta Microsoft Defenderu for Endpoint na příslušné image virtuálních počítačů s Linuxem. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
[Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na počítačích s Windows Azure Arc | Nasadí Microsoft Defender for Endpoint na počítačích s Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Preview]: Nasazení agenta Microsoft Defenderu for Endpoint na virtuálních počítačích s Windows | Nasadí Microsoft Defender for Endpoint na příslušné image virtuálních počítačů s Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Linuxem. | AuditIfNotExists, zakázáno | 6.0.0-preview |
[Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů s Linuxem, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Linuxem. | AuditIfNotExists, zakázáno | 5.1.0-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované virtuální počítače, aby služba Azure Security Center mohla aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | AuditIfNotExists, zakázáno | 4.0.0-preview |
[Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | Nainstalujte rozšíření Ověření identity hosta na podporované škálovací sady virtuálních počítačů, které umožňují službě Azure Security Center aktivně testovat a monitorovat integritu spouštění. Po instalaci bude integrita spouštění potvrzena prostřednictvím vzdáleného ověření identity. Toto posouzení platí pro škálovací sady důvěryhodných spuštění a důvěrných virtuálních počítačů s Windows. | AuditIfNotExists, zakázáno | 3.1.0-preview |
[Preview]: Virtuální počítače s Linuxem by měly používat jenom podepsané a důvěryhodné spouštěcí komponenty. | Všechny spouštěcí komponenty operačního systému (zavaděč spouštění, jádro, ovladače jádra) musí být podepsané důvěryhodnými vydavateli. Defender for Cloud identifikoval nedůvěryhodné spouštěcí komponenty operačního systému na jednom nebo několika počítačích s Linuxem. Pokud chcete chránit počítače před potenciálně škodlivými komponentami, přidejte je do seznamu povolených nebo odeberte identifikované komponenty. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Virtuální počítače s Linuxem by měly používat zabezpečené spouštění. | Pokud chcete chránit před instalací rootkitů a spouštěcích sad založených na malwaru, povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Linuxem. Zabezpečené spouštění zajišťuje, aby běžely jenom podepsané operační systémy a ovladače. Toto posouzení platí jenom pro virtuální počítače s Linuxem, které mají nainstalovaného agenta služby Azure Monitor. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Počítače by měly mít uzavřené porty, které by mohly vystavit vektory útoku. | Podmínky použití Azure zakazují používání služeb Azure způsoby, které by mohly poškodit, zakázat, přetížit nebo narušit jakýkoli server Microsoftu nebo síť. Vystavené porty identifikované tímto doporučením musí být pro vaše trvalé zabezpečení uzavřeny. Pro každý identifikovaný port doporučení také poskytuje vysvětlení potenciální hrozby. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | Povolte zabezpečené spouštění na podporovaných virtuálních počítačích s Windows, abyste se mohli zmírnit proti škodlivým a neoprávněným změnám spouštěcího řetězce. Po povolení budou moci běžet jenom důvěryhodné spouštěcí zavaděče, jádra a ovladače jádra. Toto posouzení platí pro důvěryhodné spuštění a důvěrné virtuální počítače s Windows. | Audit, zakázáno | 4.0.0-preview |
[Preview]: Stav ověření identity hosta virtuálních počítačů by měl být v pořádku. | Ověření identity hosta se provádí odesláním důvěryhodného protokolu (TCGLog) na server ověření identity. Server používá tyto protokoly k určení důvěryhodnosti spouštěcích komponent. Toto posouzení je určeno ke zjištění ohrožení spouštěcího řetězce, což může být důsledkem infekce bootkitu nebo rootkitu. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním, které mají nainstalované rozšíření Ověření hosta. | AuditIfNotExists, zakázáno | 1.0.0-preview |
[Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | Povolte virtuální zařízení TPM na podporovaných virtuálních počítačích, abyste usnadnili měřené spouštění a další funkce zabezpečení operačního systému, které vyžadují čip TPM. Po povolení je možné virtuální počítač vTPM použít k otestování integrity spouštění. Toto posouzení platí jenom pro virtuální počítače s povoleným důvěryhodným spuštěním. | Audit, zakázáno | 2.0.0-preview |
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
Koncové body rozhraní API ve službě Azure API Management by se měly ověřovat. | Koncové body rozhraní API publikované ve službě Azure API Management by měly vynucovat ověřování, aby se minimalizovalo riziko zabezpečení. Mechanismy ověřování se někdy implementují nesprávně nebo chybí. To umožňuje útočníkům zneužít chyby implementace a přistupovat k datům. Další informace o hrozbě rozhraní API OWASP pro poškozené ověřování uživatelů najdete tady: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, zakázáno | 1.0.1 |
Koncové body rozhraní API, které se nepoužívají, by se měly zakázat a odebrat ze služby Azure API Management. | Osvědčeným postupem zabezpečení jsou koncové body rozhraní API, které nepřijaly provoz po dobu 30 dnů, nepoužívané a měly by se odebrat ze služby Azure API Management. Udržování nepoužívaných koncových bodů rozhraní API může představovat bezpečnostní riziko pro vaši organizaci. Můžou se jednat o rozhraní API, která by měla být ze služby Azure API Management zastaralá, ale pravděpodobně byla omylem aktivní. Tato rozhraní API obvykle nedostávají nejaktuálnější pokrytí zabezpečení. | AuditIfNotExists, zakázáno | 1.0.1 |
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
Azure Defender pro opensourcové relační databáze by měl být povolený. | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, zakázáno | 1.0.0 |
Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Pro nechráněné flexibilní servery MySQL by měl být povolený Azure Defender pro SQL. | Audit flexibilních serverů MySQL bez Advanced Data Security | AuditIfNotExists, zakázáno | 1.0.0 |
Pro nechráněné flexibilní servery PostgreSQL by měl být povolený Azure Defender pro SQL. | Audit flexibilních serverů PostgreSQL bez Advanced Data Security | AuditIfNotExists, zakázáno | 1.0.0 |
Image kontejnerů Azure Registry by měly mít vyřešené chyby zabezpečení (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Řešení ohrožení zabezpečení může výrazně zlepšit stav zabezpečení a zajistit bezpečné použití imagí před nasazením. | AuditIfNotExists, zakázáno | 1.0.1 |
Řešení ohrožení zabezpečení spuštěných imagí kontejnerů v Azure (s využitím Microsoft Defender Správa zranitelností) | Posouzení ohrožení zabezpečení image kontejneru kontroluje běžně známá ohrožení zabezpečení (CVE) ve vašem registru a poskytuje podrobnou zprávu o ohrožení zabezpečení pro každou image. Toto doporučení poskytuje přehled o ohrožených imagích, které jsou aktuálně spuštěné v clusterech Kubernetes. Náprava ohrožení zabezpečení v imagích kontejnerů, které jsou aktuálně spuštěné, je klíčem ke zlepšení stavu zabezpečení, což výrazně snižuje prostor pro útoky pro kontejnerizované úlohy. | AuditIfNotExists, zakázáno | 1.0.1 |
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
Instance rolí Cloud Services (rozšířená podpora) by měly být bezpečně nakonfigurované. | Chraňte instance rolí cloudové služby (rozšířená podpora) před útoky tím, že zajistíte, že se nezomení na žádná ohrožení zabezpečení operačního systému. | AuditIfNotExists, zakázáno | 1.0.0 |
Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované řešení ochrany koncových bodů. | Chraňte instance rolí cloudových služeb (rozšířená podpora) před hrozbami a ohroženími zabezpečení tím, že zajistíte, že je na nich nainstalované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
Instance rolí Cloud Services (rozšířená podpora) by měly mít nainstalované aktualizace systému. | Zabezpečte instance rolí cloudových služeb (rozšířená podpora) tím, že zajistíte, aby na nich byly nainstalované nejnovější aktualizace zabezpečení a důležité aktualizace. | AuditIfNotExists, zakázáno | 1.0.0 |
Konfigurace advanced Threat Protection tak, aby byla povolená na flexibilních serverech Azure Database for MySQL | Povolte službu Advanced Threat Protection na flexibilních serverech Azure Database for MySQL a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace advanced Threat Protection tak, aby byla povolená na flexibilních serverech Azure Database for PostgreSQL | Povolte rozšířenou ochranu před internetovými útoky na flexibilních serverech Azure Database for PostgreSQL, abyste zjistili neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace SQL Serverů s podporou arc pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na SQL Serverech s podporou Služby Windows Arc. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.3.0 |
Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte SQL Servery s podporou služby Windows Arc tak, aby automaticky nainstalovaly agenta Microsoft Defenderu for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.2.0 |
Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.5.0 |
Konfigurace SQL Serverů s podporou arc pro automatickou instalaci Programu Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.7.0 |
Konfigurace SQL serverů s podporou arc s přidružením pravidel shromažďování dat k Programu Microsoft Defender pro SQL DCR | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a Microsoft Defenderem pro SQL DCR. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace SQL Serverů s podporou arc s přidružením pravidel shromažďování dat k programu Microsoft Defender pro uživatelem definované dcR v programu Microsoft Defender | Nakonfigurujte přidružení mezi SQL Servery s podporou arc a programem Microsoft Defender for SQL uživatelem definovaným řadičem domény. Odstraněním tohoto přidružení dojde k narušení detekce ohrožení zabezpečení pro tyto SQL Servery s podporou arc. | DeployIfNotExists, zakázáno | 1.3.0 |
Konfigurace aktivace Azure Defender for App Service | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci databáze Azure SQL | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci opensourcových relačních databází | Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace aktivace Azure Defender pro Resource Manager | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace aktivace Azure Defender pro servery | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace Azure Defender pro aktivaci SQL serverů na počítačích | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace základního programu Microsoft Defender pro úložiště tak, aby byla povolená (pouze monitorování aktivit) | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí základní možnosti Defenderu pro úložiště (monitorování aktivit). Pokud chcete povolit úplnou ochranu, která zahrnuje také kontrolu malwaru při nahrávání a detekci citlivých dat, použijte úplnou zásadu povolení: aka.ms/DefenderForStoragePolicy. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace počítačů pro příjem zprostředkovatele posouzení ohrožení zabezpečení | Azure Defender zahrnuje kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Nepotřebujete licenci Qualys ani účet Qualys – všechno se bezproblémově zpracovává uvnitř security Center. Když tuto zásadu povolíte, Azure Defender automaticky nasadí poskytovatele posouzení ohrožení zabezpečení Qualys do všech podporovaných počítačů, které ho ještě nemají nainstalované. | DeployIfNotExists, zakázáno | 4.0.0 |
Konfigurace plánu CSPM v programu Microsoft Defender | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace povolení plánu Microsoft Defender CSPM | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | DeployIfNotExists, zakázáno | 1.0.2 |
Konfigurace aktivace Microsoft Defender for Azure Cosmos DB | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace plánu Microsoft Defender for Containers | Do plánu Defender for Containers se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace povolení Microsoft Defenderu pro kontejnery | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | DeployIfNotExists, zakázáno | 1.0.1 |
Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí programu Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označovaného také jako WDATP_EXCLUDE_LINUX_...) pro povolení automatického zřizování MDE pro servery s Linuxem. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace nastavení integrace Microsoft Defenderu pro koncový bod pomocí Microsoft Defenderu pro cloud (WDATP_UNIFIED_SOLUTION) | Nakonfiguruje nastavení integrace Microsoft Defenderu pro koncový bod v rámci programu Microsoft Defender for Cloud (označované také jako WDATP_UNIFIED_SOLUTION) pro povolení automatického zřizování sjednoceného agenta MDE pro Windows Server 2012R2 a 2016. Aby se toto nastavení použilo, musí být zapnuté nastavení WDATP. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace nastavení integrace Microsoft Defenderu for Endpoint pomocí programu Microsoft Defender for Cloud (WDATP) | Nakonfiguruje nastavení integrace Microsoft Defenderu for Endpoint v rámci programu Microsoft Defender for Cloud (označované také jako WDATP), pro počítače s nižší úrovní Windows, které jsou nasazené do MDE prostřednictvím MMA, a automatické zřizování MDE ve Windows Serveru 2019 , Windows Virtual Desktopu a novějších verzích. Aby ostatní nastavení (WDATP_UNIFIED atd.) fungovala, musí být zapnutá. Další informace najdete tady: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace plánu Služby Key Vault v programu Microsoft Defender for Key Vault | Microsoft Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.1.0 |
Konfigurace plánu Microsoft Defenderu pro servery | Do Defenderu pro servery se neustále přidávají nové funkce, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace Microsoft Defenderu pro SQL pro povolení v pracovních prostorech Synapse | Povolte v pracovních prostorech Azure Synapse Microsoft Defender for SQL a detekujte neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím SQL nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.0 |
Nakonfigurujte microsoft Defender pro úložiště (Classic) tak, aby byl povolený. | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | DeployIfNotExists, zakázáno | 1.0.2 |
Konfigurace služby Microsoft Defender pro úložiště, která se má povolit | Microsoft Defender for Storage je nativní vrstva analýzy zabezpečení Azure, která detekuje potenciální hrozby pro vaše účty úložiště. Tato zásada povolí všechny možnosti Defenderu pro úložiště; Monitorování aktivit, kontrola malwaru a detekce citlivých dat. Další informace o možnostech a výhodách Defenderu pro úložiště najdete v aka.ms/DefenderForStorage. | DeployIfNotExists, zakázáno | 1.4.0 |
Konfigurace ochrany před hrozbami v programu Microsoft Defender pro úlohy AI | Nové funkce se neustále přidávají do ochrany před hrozbami pro úlohy umělé inteligence, které můžou vyžadovat explicitní povolení uživatele. Pomocí této zásady se ujistěte, že budou povolené všechny nové funkce. | DeployIfNotExists, zakázáno | 1.0.0 |
Konfigurace služby SQL Virtual Machines pro automatickou instalaci agenta Služby Azure Monitor | Automatizujte nasazení rozšíření agenta Služby Azure Monitor na virtuálních počítačích s Windows SQL. Další informace: https://aka.ms/AMAOverview. | DeployIfNotExists, zakázáno | 1.5.0 |
Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL | Nakonfigurujte službu Windows SQL Virtual Machines tak, aby automaticky nainstalovala rozšíření Microsoft Defender for SQL. Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). | DeployIfNotExists, zakázáno | 1.5.0 |
Konfigurace virtuálních počítačů SQL pro automatickou instalaci Microsoft Defenderu pro SQL a DCR s pracovním prostorem služby Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků, pravidlo shromažďování dat a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.7.0 |
Konfigurace služby SQL Virtual Machines tak, aby automaticky nainstalovala Microsoft Defender pro SQL a DCR s uživatelsky definovaným pracovním prostorem LA | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pravidlo shromažďování dat ve stejné oblasti jako uživatelsky definovaný pracovní prostor služby Log Analytics. | DeployIfNotExists, zakázáno | 1.8.0 |
Konfigurace pracovního prostoru Microsoft Defenderu pro SQL Log Analytics | Microsoft Defender for SQL shromažďuje události z agenta a používá je k poskytování výstrah zabezpečení a přizpůsobených úloh posílení zabezpečení (doporučení). Vytvořte skupinu prostředků a pracovní prostor služby Log Analytics ve stejné oblasti jako počítač. | DeployIfNotExists, zakázáno | 1.4.0 |
Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem | Vytvoření a přiřazení předdefinované spravované identity přiřazené uživatelem ve velkém měřítku virtuálním počítačům SQL | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
Nasazení – Konfigurace pravidel potlačení pro výstrahy služby Azure Security Center | Potlačte upozornění služby Azure Security Center, abyste snížili únavu výstrah nasazením pravidel potlačení ve vaší skupině pro správu nebo předplatném. | deployIfNotExists | 1.0.0 |
Nasazení exportu do centra událostí jako důvěryhodné služby pro data Microsoft Defenderu pro cloud | Povolte export do centra událostí jako důvěryhodnou službu Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do centra událostí jako konfiguraci důvěryhodné služby s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | DeployIfNotExists, zakázáno | 1.0.0 |
Nasazení exportu do centra událostí pro data Microsoft Defenderu pro cloud | Povolení exportu do centra událostí Microsoft Defenderu pro cloudová data Tato zásada nasadí export do konfigurace centra událostí s vašimi podmínkami a cílovým centrem událostí v přiřazeném oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.2.0 |
Nasazení exportu do pracovního prostoru služby Log Analytics pro data Microsoft Defenderu pro cloud | Povolte export do pracovního prostoru Služby Log Analytics v Microsoft Defenderu pro cloudová data. Tato zásada nasadí export do konfigurace pracovního prostoru služby Log Analytics s vašimi podmínkami a cílovým pracovním prostorem v přiřazeným oboru. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 4.1.0 |
Nasazení automatizace pracovních postupů pro upozornění Microsoft Defenderu pro cloud | Povolte automatizaci upozornění Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
Nasazení automatizace pracovních postupů pro doporučení Microsoft Defenderu pro cloud | Povolte automatizaci doporučení Microsoft Defenderu pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
Nasazení automatizace pracovních postupů pro Microsoft Defender pro dodržování právních předpisů v cloudu | Povolte automatizaci dodržování právních předpisů v programu Microsoft Defender pro cloud. Tato zásada nasadí automatizaci pracovního postupu s vašimi podmínkami a triggery pro přiřazený obor. Pokud chcete tuto zásadu nasadit na nově vytvořená předplatná, otevřete kartu Dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 5.0.1 |
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
Povolení Microsoft Defenderu pro cloud ve vašem předplatném | Identifikuje existující předplatná, která nejsou monitorována programem Microsoft Defender for Cloud, a chrání je pomocí bezplatných funkcí Defenderu pro cloud. Předplatná, která už jsou monitorovaná, budou považována za vyhovující. Pokud chcete zaregistrovat nově vytvořená předplatná, otevřete kartu dodržování předpisů, vyberte příslušné nevyhovující přiřazení a vytvořte úlohu nápravy. | deployIfNotExists | 1.0.1 |
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s vlastním pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných pro monitorování a shromažďování dat zabezpečení pomocí vlastního pracovního prostoru. | DeployIfNotExists, zakázáno | 1.0.0 |
Povolte automatické zřizování agenta Log Analytics ve službě Security Center ve vašich předplatných s výchozím pracovním prostorem. | Povolte službě Security Center automatické zřizování agenta Log Analytics ve vašich předplatných, abyste mohli monitorovat a shromažďovat data zabezpečení pomocí výchozího pracovního prostoru ASC. | DeployIfNotExists, zakázáno | 1.0.0 |
Povolení ochrany před hrozbami pro úlohy AI | Ochrana před hrozbami Microsoftu pro úlohy AI poskytuje kontextové výstrahy zabezpečení založené na důkazech zaměřené na ochranu aplikací využívajících domácí generační AI. | DeployIfNotExists, zakázáno | 1.0.0 |
Problémy se stavem služby Endpoint Protection by se měly vyřešit na vašich počítačích. | Vyřešte problémy se stavem služby Endpoint Protection na virtuálních počítačích, abyste je ochránili před nejnovějšími hrozbami a ohroženími zabezpečení. Podporovaná řešení ochrany koncových bodů ve službě Azure Security Center jsou zdokumentovaná zde – https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Posouzení ochrany koncových bodů je zdokumentované zde - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, zakázáno | 1.0.0 |
Ochrana koncových bodů by měla být nainstalovaná na vašich počítačích. | Pokud chcete chránit počítače před hrozbami a ohroženími zabezpečení, nainstalujte podporované řešení ochrany koncových bodů. | AuditIfNotExists, zakázáno | 1.0.0 |
Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
Na instance rolí cloudových služeb (rozšířená podpora) by se měl nainstalovat agent Log Analytics. | Security Center shromažďuje data z instancí rolí Cloud Services (rozšířená podpora) za účelem monitorování ohrožení zabezpečení a hrozeb. | AuditIfNotExists, zakázáno | 2.0.0 |
Počítače by měly mít vyřešené tajné závěry. | Audituje virtuální počítače, aby zjistil, jestli obsahují tajné závěry z řešení pro kontrolu tajných kódů na vašich virtuálních počítačích. | AuditIfNotExists, zakázáno | 1.0.2 |
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
Funkce CSPM v programu Microsoft Defender by měla být povolená. | Správa stavu cloudového zabezpečení v defenderu (CSPM) poskytuje vylepšené možnosti stavu a nový graf inteligentního cloudového zabezpečení, který pomáhá identifikovat, určit prioritu a snížit riziko. Kromě bezplatných základních funkcí zabezpečení zapnutých ve výchozím nastavení v Defenderu pro cloud je funkce CSPM v programu Defender pro cloud k dispozici. | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená rozhraní MICROSOFT Defender for API. | Microsoft Defender pro rozhraní API přináší nové zjišťování, ochranu, detekci a pokrytí odpovědí pro monitorování běžných útoků založených na rozhraní API a chybných konfigurací zabezpečení. | AuditIfNotExists, zakázáno | 1.0.3 |
Měla by být povolená služba Microsoft Defender pro službu Azure Cosmos DB. | Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. | AuditIfNotExists, zakázáno | 1.0.0 |
Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
U nechráněných pracovních prostorů Synapse by měl být povolený Microsoft Defender pro SQL. | Povolte Defender for SQL k ochraně pracovních prostorů Synapse. Defender for SQL monitoruje synapse SQL a zjišťuje neobvyklé aktivity, které značí neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.0 |
Stav Microsoft Defenderu pro SQL by měl být chráněný pro SQL servery s podporou Arc. | Microsoft Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL, zjišťování a klasifikaci citlivých dat. Po povolení stav ochrany znamená, že se prostředek aktivně monitoruje. I když je defender povolený, musí být na agentu, počítači, pracovním prostoru a SQL Serveru ověřeno více nastavení konfigurace, aby se zajistila aktivní ochrana. | Audit, zakázáno | 1.0.1 |
Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.4 |
Měli byste vybrat cenovou úroveň Security Center Standard. | Cenová úroveň Standard umožňuje detekci hrozeb pro sítě a virtuální počítače a poskytuje analýzu hrozeb, detekci anomálií a analýzy chování ve službě Azure Security Center. | Audit, zakázáno | 1.1.0 |
Nastavení předplatných pro přechod na alternativní řešení posouzení ohrožení zabezpečení | Microsoft Defender pro cloud nabízí kontrolu ohrožení zabezpečení vašich počítačů bez dalších poplatků. Povolení této zásady způsobí, že Defender for Cloud automaticky rozšíří zjištění z integrovaného řešení správa ohrožení zabezpečení Microsoft Defenderu do všech podporovaných počítačů. | DeployIfNotExists, zakázáno | 1.0.0-preview |
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
Automatické zřizování cílené na SQL server by mělo být povolené pro sql servery v plánu počítačů. | Pokud chcete zajistit ochranu virtuálních počítačů SQL a SQL Serverů s podporou arc, ujistěte se, že je agent monitorování Azure cílený na SQL nakonfigurovaný tak, aby se automaticky nasazoval. To je také nezbytné, pokud jste dříve nakonfigurovali automatické zřizování agenta Microsoft Monitoring Agent, protože tato komponenta je zastaralá. Víc se uč: https://aka.ms/SQLAMAMigration | AuditIfNotExists, zakázáno | 1.0.0 |
Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Aktualizace systému by se měly nainstalovat na vaše počítače (s využitím Update Center). | V počítačích chybí systém, zabezpečení a důležité aktualizace. Aktualizace softwaru často zahrnují kritické opravy bezpečnostních otvorů. Takové díry se často využívají při malwarových útocích, takže je důležité udržovat software aktualizovaný. Pokud chcete nainstalovat všechny nevyhrazené opravy a zabezpečit počítače, postupujte podle kroků pro nápravu. | AuditIfNotExists, zakázáno | 1.0.1 |
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Další kroky
V tomto článku jste se seznámili s definicemi zásad zabezpečení služby Azure Policy v defenderu pro cloud. Další informace o iniciativách, zásadách a jejich vztahu k doporučením defenderu pro cloud najdete v tématu Co jsou zásady zabezpečení, iniciativy a doporučení?