Definiciones integradas de Azure Policy para los servicios de redes de Azure
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para los servicios de redes de Azure. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Servicios de redes de Azure
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de aplicaciones deben ser resistentes a zonas | Las puertas de enlace de aplicaciones se pueden configurar como alineadas con zonas, con redundancia de zona o ninguna de estas opciones. Las puertas de enlace de aplicaciones que tienen exactamente una entrada en su matriz de zonas se consideran alineadas con zonas. En cambio, las puertas de enlace de aplicaciones con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configurar almacenes de Azure Recovery Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los almacenes de Recovery Services. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Versión preliminar]: Configure almacenes de Recovery Services para usar zonas DNS privadas para las copias de seguridad | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el almacén de Recovery Services. Más información en: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Versión preliminar]: Los firewalls deben ser resistentes a zonas | Los firewalls se pueden configurar como alineados con zonas, con redundancia de zona o ninguna de estas opciones. Los firewalls que tienen exactamente una entrada en su matriz de zonas se consideran alineados con zonas. En cambio, los firewalls con 3 o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Los equilibradores de carga deben ser resistentes a zonas | Los equilibradores de carga con una SKU distinta de Básica heredan la resistencia de las direcciones IP públicas en su front-end. Cuando se combina con la directiva "Las direcciones IP públicas deben ser resistentes a zonas", este enfoque garantiza la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: La puerta de enlace NAT debe estar alineada con la zona | La puerta de enlace NAT se puede configurar como alineada con zonas o no. La puerta de enlace NAT que tiene exactamente una entrada en su matriz de zonas se considera alineada con zonas. Esta directiva garantiza que una puerta de enlace NAT esté configurada para funcionar dentro de una sola zona de disponibilidad. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: las direcciones IP públicas deben ser resistentes a zonas | Las direcciones IP públicas se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Las direcciones IP públicas que son regionales y tienen exactamente una entrada en su matriz de zonas se consideran como alineadas con zonas. En cambio, las direcciones IP públicas que son regionales y tienen tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.1.0-preview |
| [Versión preliminar]: los prefijos de IP pública deben ser resistentes a zonas | Los prefijos de IP pública se pueden configurar para alinearse por zona, tener redundancia de zona o ninguna de estas opciones. Los prefijos de IP pública que tienen exactamente una entrada en su matriz de zonas se consideran como alineados por zonas. En cambio, los prefijos de IP pública con tres o más entradas en su matriz de zonas se reconocen como con redundancia de zona. Esta directiva ayuda a identificar y aplicar estas configuraciones de resistencia. | Audit, Deny, Disabled | 1.0.0-preview |
| [Versión preliminar]: Las puertas de enlace de red virtual deben tener redundancia de zona | Las puertas de enlace de red virtual pueden configurarse para tener redundancia de zona o no. Las puertas de enlace de red virtual cuyo nombre o nivel de SKU no termina en "AZ" no son redundantes de zona. Esta directiva identifica las puertas de enlace de red virtual que carecen de la redundancia necesaria para resistir una interrupción de zona. | Audit, Deny, Disabled | 1.0.0-preview |
| Se debe aplicar una directiva IPsec/IKE personalizada a todas las conexiones de puerta de enlace de red virtual de Azure. | Esta directiva garantiza que todas las conexiones de puerta de enlace de Azure Virtual Network usen una directiva personalizada de protocolo de seguridad de Internet (IPsec) o Intercambio de claves por red (IKE). Consulte los algoritmos y los niveles de seguridad de las claves compatibles en https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Configuración de registros de flujo de auditoría para cada red virtual | Audite la red virtual para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de red virtual. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Azure Application Gateway debe implementarse con el WAF de Azure | Requiere que los recursos de Azure Application Gateway se implementen con el WAF de Azure. | Audit, Deny, Disabled | 1.0.0 |
| Azure Application Gateway debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Application Gateway (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| Las reglas clásicas de Azure Firewall deben migrarse a la directiva de firewall | Migre de reglas clásicas de Azure Firewall a la directiva de firewall para usar herramientas de administración central como Azure Firewall Manager. | Audit, Deny, Disabled | 1.0.0 |
| El análisis de las directivas de Azure Firewall debe estar habilitado | La habilitación del análisis de directivas proporciona visibilidad mejorada del tráfico que fluye a través de Azure Firewall, lo que permite la optimización de la configuración del firewall sin afectar al rendimiento de la aplicación. | Audit, Disabled | 1.0.0 |
| La directiva de Azure Firewall debe habilitar la inteligencia sobre amenazas | El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| La directiva de Azure Firewall debe tener habilitado el proxy DNS | Al habilitar el proxy DNS, Azure Firewall se asociará a esta directiva para escuchar en el puerto 53 y reenviar las solicitudes DNS al servidor DNS especificado. | Audit, Disabled | 1.0.0 |
| Azure Firewall debe implementarse para abarcar varias zonas de disponibilidad | Para aumentar la disponibilidad, se recomienda implementar Azure Firewall para abarcar varias zonas de disponibilidad. Esto garantiza que Azure Firewall permanezca disponible en caso de error de zona. | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Estándar: las reglas clásicas deben habilitar la inteligencia sobre amenazas | El filtrado basado en inteligencia sobre amenazas puede habilitarse para que el firewall alerte y deniegue el tráfico desde y hacia los dominios y las direcciones IP malintencionados. La direcciones IP y los dominios proceden de la fuente Inteligencia sobre amenazas de Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| Azure Firewall Estándar debe actualizarse a Premium para la protección de última generación | Si busca protección de última generación, como IDPS e inspección de TLS, considere la posibilidad de actualizar Azure Firewall a la SKU Premium. | Audit, Deny, Disabled | 1.0.0 |
| Azure Front Door debe tener habilitados los registros de recursos | Habilite los registros de recursos para Azure Front Door (más el WAF) y transmítalos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico web entrante y las acciones realizadas para mitigar los ataques. | AuditIfNotExists, Disabled | 1.0.0 |
| Las instancias de Azure VPN Gateway no deben usar la SKU "básica". | Esta directiva garantiza que las instancias de VPN Gateway no usan la SKU "básica". | Audit, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Application Gateway debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Application Gateway tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall en Azure Front Door debe tener habilitada la inspección del cuerpo de la solicitud | Asegúrese de que Web Application Firewall asociado a Azure Front Door tenga habilitada la inspección del cuerpo de la solicitud. Esto permite que el WAF inspeccione las propiedades dentro del cuerpo HTTP, que podría no evaluarse en los encabezados HTTP, las cookies o el URI. | Audit, Deny, Disabled | 1.0.0 |
| Azure Web Application Firewall debe estar habilitado para los puntos de entrada de Azure Front Door | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 1.0.2 |
| La protección contra bots debe estar habilitada para el WAF de Azure Application Gateway | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Application Gateway | Audit, Deny, Disabled | 1.0.0 |
| La protección contra bots debe estar habilitada para el WAF de Azure Front Door | Esta directiva garantiza que la protección contra bots esté habilitada en todas las directivas del Firewall de aplicaciones web (WAF) de Azure Front Door | Audit, Deny, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para blob_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado blob_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para dfs_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado dfs_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para file groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado file groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para queue_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado queue_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para table_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado table_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de un identificador de zona DNS privada para web_secondary groupID | Configure el grupo de zonas DNS privadas para invalidar la resolución de DNS para un punto de conexión privado web_secondary groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de App Service para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula una red virtual a una instancia de App Service. Más información en: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de ámbitos de Private Link de Azure Arc para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en ámbitos de Private Link de Azure Arc. Más información en: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurar las cuentas de Azure Automation con zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Es necesario que la zona DNS privada esté configurada correctamente para conectarse a la cuenta de Azure Automation a través de la Azure Private Link. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Cache for Redis Enterprise para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolverla en Azure Cache for Redis Enterprise. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure Cache for Redis para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se puede vincular una zona DNS privada a la red virtual para que se resuelva en Azure Cache for Redis. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los servicios de Azure Cognitive Search para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver el servicio Azure Cognitive Search. Más información en: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configure el área de trabajo de Azure Databricks para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las área de trabajo de Azure Databricks. Más información en: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de cuentas de Azure Device Update for IoT Hub para utilizar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de Device Update for IoT Hub. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Azure File Sync para usar zonas DNS privadas | Para tener acceso a los puntos de conexión privados de las interfaces de recursos del servicio de sincronización de almacenamiento desde un servidor registrado, debe configurar DNS para resolver los nombres correctos en las direcciones IP privadas del punto de conexión privado. Esta directiva crea la zona de DNS privado de Azure y los registros A necesarios para las interfaces de los puntos de conexión privados del servicio de sincronización de almacenamiento. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de clústeres de Azure HDInsight para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en clústeres de Azure HDInsight. Más información en: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar instancias de Azure Key Vault para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver en el almacén de claves. Más información en: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración del área de trabajo de Azure Machine Learning para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Machine Learning. Más información en: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configure las áreas de trabajo de Azure Managed Grafana para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver las áreas de trabajo de Azure Managed Grafana. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Media Services. Más información en: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de Azure Media Services con puntos de conexión privados | Los puntos de conexión privados conectan las redes virtuales a los servicios de Azure sin una dirección IP pública en el origen o el destino. Al asignar puntos de conexión privados a Media Services, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los recursos de Azure Migrate para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el proyecto de Azure Migrate. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de su ámbito de Private Link de Azure Monitor para utilizar las zonas de DNS privado | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el ámbito de Private Link de Azure Monitor. Más información en: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las áreas de trabajo de Azure Synapse para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver las áreas de trabajo de Azure Synapse. Más información en: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configure los recursos del grupo de hosts de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los recursos del área de trabajo de Azure Virtual Desktop para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los recursos de Azure Virtual Desktop. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar el servicio Azure Web PubSub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el servicio de Azure Web PubSub. Más información en: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de los recursos de BotService para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Se vincula una zona DNS privada a la red virtual para resolver los recursos relacionados con BotService. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las cuentas de Cognitive Services para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en las cuentas de Cognitive Services. Más información en: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de las instancias de Container Registry para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolverse en la instancia de Container Registry. Más información en https://aka.ms/privatednszone y https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurar las cuentas de CosmosDB para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver la cuenta de CosmosDB. Más información en: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Definición de la configuración de diagnóstico de los grupos de seguridad de red de Azure para un área de trabajo de Log Analytics | Implemente la configuración de diagnóstico en grupos de seguridad de red de Azure para transmitir registros de recursos a un área de trabajo de Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los recursos de acceso al disco para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada crea un vínculo a la red virtual para resolverse en el disco administrado. Más información en: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres del centro de eventos para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver los espacios de nombres del centro de eventos. Más información en: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar instancias de aprovisionamiento de dispositivos de IoT Hub para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada vincula a la red virtual para resolver una instancia de servicio de aprovisionamiento de dispositivos de IoT Hub. Más información en: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar grupos de seguridad de red para habilitar el análisis de tráfico | El análisis de tráfico se puede habilitar para todos los grupos de seguridad de red hospedados en una región determinada con la configuración proporcionada durante la creación de la directiva. Si ya tiene habilitado el análisis de tráfico, la directiva no sobrescribe su configuración. Los registros de flujo también están habilitados para los grupos de seguridad de red que no lo tienen. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configure los grupos de seguridad de red para usar un área de trabajo, una cuenta de almacenamiento y una directiva de retención de registros de flujo específicas para análisis de tráfico | Si ya tiene habilitado el análisis de tráfico, la directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurar zonas DNS privadas para puntos de conexión privados conectados a App Configuration | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se puede vincular a la red virtual para resolver las instancias de configuración de aplicaciones. Más información en: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar las zonas DNS privadas para los puntos de conexión privados que se conectan a Azure Data Factory | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de los puntos de conexión privados permiten la comunicación segura al habilitar la conectividad privada con la instancia de Azure Data Factory sin necesidad de direcciones IP públicas en el origen o el destino. Para más información sobre los puntos de conexión privados y las zonas DNS en Azure Data Factory, consulte https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar Private Link para que Azure AD use zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver en Azure AD. Más información en: https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurar los espacios de nombres de Service Bus para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver los espacios de nombres de Service Bus. Más información en: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de la red virtual para habilitar el registro de flujo y el análisis de tráfico | El análisis de tráfico y el registro de flujo se pueden habilitar para todas las redes virtuales hospedadas en una región determinada con la configuración proporcionada durante la creación de la directiva. Esta directiva no sobrescribe la configuración actual de las redes virtuales que ya tienen habilitada esta característica. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.1 |
| Configure las redes virtuales para aplicar el área de trabajo, la cuenta de almacenamiento y el intervalo de retención para Registros de flujo y Análisis de tráfico | Si una red virtual ya tiene habilitado el análisis de tráfico, esta directiva sobrescribirá su configuración ya existente por la proporcionada durante la creación de dicha directiva. Análisis de tráfico es una solución basada en la nube, que proporciona visibilidad de la actividad de usuarios y aplicaciones en las redes en la nube. | DeployIfNotExists, Disabled | 1.1.2 |
| Implementación: configurar los dominios de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar los temas de Azure Event Grid para usar zonas DNS privadas | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Más información en: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementación: configurar instancias de Azure IoT Hub para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Implementar: configurar IoT Central para usar zonas DNS privadas | DNS privado de Azure proporciona un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Puede usar las zonas DNS privadas para reemplazar la resolución de DNS por el uso de sus propios nombres de dominio personalizados para un punto de conexión privado. Esta directiva implementa una zona DNS privada para puntos de conexión privados de IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configuración de zonas DNS privadas para conectar puntos de conexión privados a Azure SignalR Service | Use zonas DNS privadas para invalidar la resolución DNS de un punto de conexión privado. Una zona DNS privada se vincula a la red virtual para resolver el recurso de Azure SignalR Service. Más información en: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación: configurar las zonas DNS privadas de los puntos de conexión privados que se conectan a las cuentas de Batch | Los registros de DNS privado permiten conexiones privadas a puntos de conexión privados. Las conexiones de punto de conexión privado permiten la comunicación segura al habilitar la conectividad privada con cuentas de Batch sin necesidad de direcciones IP públicas en el origen o el destino. Para obtener más información sobre los puntos de conexión y las zonas DNS privados en Batch, vea https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Implementación de un recurso de registro de flujo con el grupo de seguridad de red de destino | Configura el registro de flujo para un grupo de seguridad de red específico. Permitirá registrar información sobre el flujo de tráfico IP mediante un grupo de seguridad de red. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | deployIfNotExists | 1.1.0 |
| Implementación de un recurso de registro de flujo con la red virtual de destino | Configura el registro de flujo para una red virtual específica. Permitirá registrar información sobre el flujo de tráfico IP mediante una red virtual. El registro de flujo ayuda a identificar el tráfico desconocido o no deseado, comprobar el aislamiento de la red y el cumplimiento con las reglas de acceso de la empresa, analizar los flujos de red de direcciones IP e interfaces de red en peligro. | DeployIfNotExists, Disabled | 1.1.1 |
| Implementar la configuración de diagnóstico para grupos de seguridad de red | Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". | deployIfNotExists | 2.0.1 |
| Implementar Network Watcher al crear redes virtuales. | Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. | DeployIfNotExists | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puertas de enlace de aplicación (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puertas de enlace de aplicación (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para puertas de enlace de aplicación (microsoft.network/applicationgateways) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puertas de enlace de aplicación (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para Bastions (microsoft.network/bastionhosts) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para circuitos ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para circuitos ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para circuitos ExpressRoute (microsoft.network/expressroutecircuits) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para circuitos ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para firewalls (microsoft.network/azurefirewalls) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para firewalls (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para los perfiles de CDN y Front Door (microsoft.network/frontdoors) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de CDN y Front Door (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para equilibradores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para equilibradores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para equilibradores de carga (microsoft.network/loadbalancers) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para equilibradores de carga (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/dnsresolverpolicies en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/dnsresolverpolicies en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/dnsresolverpolicies en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networkmanagers/ipampools en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networkmanagers/ipampools en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networkmanagers/ipampools en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networksecurityperimeters en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networksecurityperimeters en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/networksecurityperimeters en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para microsoft.network/p2svpngateways en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitar el registro mediante grupo de categorías para microsoft.network/vpngateways en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/vpngateways en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.network/vpngateways en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkanalytics/dataproducts en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkanalytics/dataproducts en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkanalytics/dataproducts en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/baremetalmachines en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/baremetalmachines en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/baremetalmachines en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/clusters en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/clusters en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/clusters en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/storageappliances en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/storageappliances en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkcloud/storageappliances en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkfunction/azuretrafficcollectors en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkfunction/azuretrafficcollectors en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para microsoft.networkfunction/azuretrafficcollectors en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para administradores de red (microsoft.network/networkmanagers) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para administradores de red (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para administradores de red (microsoft.network/networkmanagers) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para administradores de red (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para administradores de red (microsoft.network/networkmanagers) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para administradores de red (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para grupos de seguridad de red (microsoft.network/networksecuritygroups) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para grupos de seguridad de red (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para grupos de seguridad de red (microsoft.network/networksecuritygroups) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para grupos de seguridad de red (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para grupos de seguridad de red (microsoft.network/networksecuritygroups) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para grupos de seguridad de red (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para direcciones IP públicas (microsoft.network/publicipaddresses) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para direcciones IP públicas (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitar el registro mediante un grupo de categorías para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para prefijos de direcciones IP públicas (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para perfiles de Traffic Manager (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitación del registro por grupo de categorías para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para puertas de enlace de red virtual (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Habilitar el registro mediante un grupo de categorías para redes virtuales (microsoft.network/virtualnetworks) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para redes virtuales (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para redes virtuales (microsoft.network/virtualnetworks) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para redes virtuales (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para redes virtuales (microsoft.network/virtualnetworks) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para redes virtuales (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación de la regla de límite de frecuencia para protegerse frente a ataques DDoS en WAF de Azure Front Door | La regla de límite de frecuencia del firewall de aplicaciones web (WAF) de Azure para Azure Front Door controla el número de solicitudes permitidas desde una IP de cliente determinada a la aplicación durante la duración de la limitación de frecuencia. | Audit, Deny, Disabled | 1.0.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red | Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. | deny | 1.0.0 |
| Migración de WAF de la configuración de WAF a la directiva de WAF en Application Gateway | Si solo tiene una configuración de WAF en lugar de una directiva de WAF, entonces es posible que quiera cambiar a la nueva directiva de WAF. En el futuro, la directiva de Firewall admitirá la configuración de directiva de WAF, los conjuntos de reglas administrados, las exclusiones y los grupos de reglas deshabilitados. | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben estar conectadas a una subred aprobada de la red virtual aprobada | Esta directiva impide que las interfaces de red se conecten a una red virtual o subred que no esté aprobada. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Las interfaces de red deben deshabilitar el reenvío IP | Esta directiva deniega las interfaces de red que habilitaron el reenvío IP. El valor de reenvío IP deshabilita la comprobación que realiza Azure del origen y destino en una interfaz de red. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Las interfaces de red no deben tener direcciones IP públicas. | Esta directiva deniega las interfaces de red que están configuradas con cualquier dirección IP pública. Las direcciones IP públicas permiten la comunicación entrante de los recursos de Internet con los recursos de Azure y la comunicación saliente de los recursos de Azure con Internet. Este debe revisarlo el equipo de seguridad de red. | deny | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Las direcciones IP públicas deben tener los registros de recursos habilitados para Azure DDoS Protection. | Habilite los registros de recursos de las direcciones IP públicas en la configuración de diagnóstico para transmitirlos a un área de trabajo de Log Analytics. Obtenga visibilidad detallada sobre el tráfico de ataque y las acciones realizadas para mitigar los ataques DDoS mediante las notificaciones, informes y registros de flujo. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Las direcciones IP públicas y los prefijos de ip pública deben tener la etiqueta FirstPartyUsage | Asegúrese de que todas las direcciones IP públicas y los prefijos de IP pública tengan una etiqueta FirstPartyUsage. | Audit, Deny, Disabled | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las subredes deberían ser privadas | Asegúrese de que las subredes están seguras de forma predeterminada evitando el acceso saliente predeterminado. Para más información, vaya a https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
| Virtual Hubs debe protegerse con Azure Firewall | Implemente una instancia de Azure Firewall en Virtual Hubs para proteger y controlar de forma granular el tráfico de entrada y salida de Internet. | Audit, Deny, Disabled | 1.0.0 |
| Las máquinas virtuales deben estar conectadas a una red virtual aprobada | Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. | Audit, Deny, Disabled | 1.0.0 |
| Las redes virtuales deben protegerse con Azure DDoS Protection. | Proteja sus redes virtuales contra ataques volumétricos y de protocolo con Azure DDoS Protection. Para más información, visite https://aka.ms/ddosprotectiondocs. | Modificación, auditoría y deshabilitación | 1.0.1 |
| Las redes virtuales deben usar la puerta de enlace de red virtual especificada | Esta directiva audita cualquier red virtual cuya ruta predeterminada no apunte a la puerta de enlace de red virtual especificada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las puertas de enlace de VPN solo deben usar la autenticación de Azure Active Directory (Azure AD) para los usuarios de punto a sitio | La deshabilitación de los métodos de autenticación local mejora la seguridad, ya que garantiza que las instancias de VPN Gateway usen exclusivamente identidades de Azure Active Directory para la autenticación. Puede encontrar más información sobre la autenticación de Azure AD en https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe estar habilitado para Application Gateway | Implemente Azure Web Application Firewall (WAF) delante de las aplicaciones web de acceso público para una inspección adicional del tráfico entrante. Web Application Firewall (WAF) ofrece una protección centralizada de las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y las ejecuciones de archivos locales y remotas. También permite restringir el acceso a las aplicaciones web por países, intervalos de direcciones IP y otros parámetros http(s) por medio de reglas personalizadas. | Audit, Deny, Disabled | 2.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Application Gateway | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Application Gateway. | Audit, Deny, Disabled | 1.0.0 |
| El firewall de aplicaciones web (WAF) debe usar el modo especificado para Azure Front Door Service | Exige que el modo de detección o prevención esté activo en todas las directivas de firewall de aplicaciones web para Azure Front Door Service. | Audit, Deny, Disabled | 1.0.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.