Criteri di Azure definizioni predefinite per i servizi di rete di Azure
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefiniti per i servizi di rete di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Servizi di rete di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: tutto il traffico Internet deve essere instradato tramite il firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: I gateway applicazione devono essere resilienti per la zona | I gateway applicazione possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I gateway applicativi che hanno esattamente una voce nel loro array di zone sono considerati allineati alle zone. Al contrario, i gateway applicativi con 3 o più voci nell'array delle zone vengono riconosciuti come ridondanti. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per la risoluzione in Insiemi di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per usare le zone DNS privati per il backup | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: I firewall devono essere resilienti alla zona | I firewall possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I firewall che hanno esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i firewall con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i servizi di bilanciamento del carico devono essere resilienti per la zona | I servizi di bilanciamento del carico con uno SKU diverso da Basic ereditano la resilienza degli indirizzi IP pubblici nel front-end. Se combinato con i criteri "Indirizzi IP pubblici deve essere resiliente alla zona", questo approccio garantisce la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il gateway NAT deve essere allineato alla zona | Il gateway NAT può essere configurato in modo che sia allineato o meno alla zona. Il gateway NAT con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un gateway NAT sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli indirizzi IP pubblici devono essere resilienti per la zona | Gli indirizzi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. Gli indirizzi IP pubblici a livello di area, con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, gli indirizzi IP pubblici a livello di area, con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I prefissi IP pubblici devono essere resilienti alla zona | I prefissi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I prefissi IP pubblici con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i prefissi IP pubblici con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I gateway di rete virtuale devono essere ridondanti della zona | I gateway di rete virtuale possono essere configurati in modo che siano ridondanti o meno della zona. I gateway di rete virtuale il cui nome o livello SKU non termina con "AZ" non sono ridondanti della zona. Questo criterio identifica i gateway di rete virtuale privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| Il gateway applicazione di Azure deve essere distribuito con Azure WAF | Richiede che le risorse del gateway applicazione di Azure vengano distribuite con Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
| L’applicazione Gateway di Azure deve avere i log delle risorse abilitati | Abilitare i log delle risorse per il gateway applicazione di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Protezione DDoS di Azure deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| È necessario eseguire la migrazione delle regole classiche di Firewall di Azure a Criteri firewall | Eseguire la migrazione dalle regole classiche di Firewall di Azure ai criteri firewall per usare strumenti di gestione centralizzati, ad esempio Gestione firewall di Azure. | Audit, Deny, Disabled | 1.0.0 |
| L'analisi dei criteri di Firewall di Azure deve essere abilitata | L'abilitazione di Analisi dei criteri offre visibilità avanzata sul flusso del traffico attraverso Firewall di Azure, consentendo l'ottimizzazione della configurazione del firewall senza influire sulle prestazioni dell'applicazione | Audit, Disabled | 1.0.0 |
| Il Criterio firewall di Azure dovrebbe abilitare Intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| Criteri firewall di Azure deve disporre di un proxy DNS abilitato | Abilitando il Proxy DNS, i firewall di Azure associati a questo criterio saranno in ascolto sulla porta 53 e inoltreranno le richieste DNS al server DNS specificato sopra | Audit, Disabled | 1.0.0 |
| Firewall di Azure deve essere distribuito per estendersi su più zone di disponibilità | Per una maggiore possibilità, è consigliabile implementare il Firewall di Azure in modo da essere distribuito in più zone di disponibilità. In questo modo si garantisce che Firewall di Azure rimanga disponibile in caso di errore della zona. | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Standard - Le regole classiche devono abilitare l'intelligence sulle minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini sono originati dal feed Intelligence sulle minacce Microsoft. | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Standard deve essere aggiornato a Premium per la protezione di nuova generazione | Se si sta cercando una protezione di nuova generazione, ad esempio IDPS e ispezione TLS, è consigliabile aggiornare Firewall di Azure allo SKU Premium. | Audit, Deny, Disabled | 1.0.0 |
| Frontdoor di Azure devono avere i log delle risorse abilitati | Abilitare i log delle risorse per Frontdoor di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
| Web application firewall di Azure nel gateway applicazione di Azure deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che i web application firewall associati ai gateway applicazione di Azure dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure in Frontdoor di Azure deve avere l'ispezione del corpo della richiesta abilitata | Accertarsi che i Web Application Firewall associati ai Front Door di Azure dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| La protezione bot deve essere abilitata per WAF del gateway applicazione di Azure | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) del gateway applicazione di Azure | Audit, Deny, Disabled | 1.0.0 |
| La protezione bot deve essere abilitata per Frontdoor di Azure WAF | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) di Frontdoor di Azure | Audit, Deny, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob_secondario | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob_secondario. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID file | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID file. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID coda | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID coda. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID queue_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID queue_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID tabella | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID tabella. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID table_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID table_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app del servizio app affinché usino zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega una rete virtuale a un servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare l'ambito collegamento privato di Azure Arc per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli ambiti di collegamento privato di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare gli account di Automazione di Azure con zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. È necessaria una zona DNS privata configurata correttamente per connettersi all'account di Automazione di Azure tramite collegamento privato di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare la Cache Redis di Azure per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. È possibile collegare una zona DNS privata alla rete virtuale per la risoluzione in Cache Redis di Azure Enterprise. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare la cache di Azure per Redis per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per la risoluzione in Cache Redis di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configura servizi di Ricerca cognitiva di Azure per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Ricerca cognitiva di Azure. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare l'area di lavoro di Azure Databricks per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere le aree di lavoro di Azure Databricks. Per altre informazioni, vedere https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Aggiornamento dispositivi di Azure per gli account hub IoT per l’utilizzo di zone private DNS | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per l'aggiornamento dei dispositiviper gli endpoint privati dell'hub IoT. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Sincronizzazione file di Azure per usare zone private DNS | Per accedere agli endpoint privati per le interfacce delle risorse del servizio di sincronizzazione archiviazione da un server registrato, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record A e zona DNS privato di Azure necessari per le interfacce degli endpoint privati del servizio di sincronizzazione archiviazione. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare cluster Azure HDInsight per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere i cluster Azure HDInsight. Per altre informazioni, vedere https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le istanze di Azure Key Vault per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare l'area di lavoro di Azure Machine Learning per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Grafana gestite di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Grafana gestite di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account di Servizi multimediali. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse Azure Migrate per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il progetto di Azure Migrate. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare l'ambito collegamento privato di Monitoraggio di Azure per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'ambito del collegamento privato di Monitoraggio di Azure. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare aree di lavoro Azure Synapse per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'area di lavoro di Azure Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le risorse del pool di host di Desktop virtuale Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse dell'area di lavoro di Desktop virtuale Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse del servizio del bot per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse correlate a BotService. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account Servizi cognitivi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli account di Servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i registri Container per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere il problema nel Registro Container. Altre informazioni su https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli account Cosmos DB per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account CosmosDB. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di sicurezza di rete di Azure nell'area di lavoro di Log Analytics | Distribuire le impostazioni di diagnostica nei gruppi di sicurezza di rete di Azure per trasmettere i log delle risorse a un'area di lavoro di Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di accesso al disco per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un disco gestito. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi dell'hub eventi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le istanze del servizio Device Provisioning in hub IoT per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un'istanza del servizio device provisioning in hub IoT. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi specifici per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare zone private DNS per gli endpoint privati connessi a Configurazione app | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere le istanze di configurazione dell'app. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare zone private DNS per gli endpoint privati che si connettono ad Azure Data Factory | I record DNS privati consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata ad Azure Data Factory senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Azure Data Factory, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare collegamento privato per Azure AD per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per la risoluzione in Azure AD. Per altre informazioni, vedere https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi del bus di servizio per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi del bus di servizio. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.2 |
| Distribuire - Configurare domini di Griglia di eventi di Azure per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuire - Configurare argomenti di Griglia di eventi di Azure per usare zone DNS privato | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuire - Configurare hub IoT di Azure per usare zone private DNS | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per gli endpoint privati dell'hub IoT. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Distribuire - Configurare IoT Central per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per gli endpoint privati di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare zone private DNS per gli endpoint privati che si connettono al Servizio Azure SignalR | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere la risorsa del servizio Azure SignalR. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare le zone DNS privato per gli endpoint privati che si connettono agli account Batch | I record DNS privati consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Batch, vedere https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DeployIfNotExists, Disabled | 1.1.1 |
| Distribuire le impostazioni di diagnostica per i gruppi di sicurezza di rete | Questo criterio distribuisce automaticamente le impostazioni diagnostiche nei gruppi di sicurezza di rete. Verrà creato automaticamente un account di archiviazione con il nome '{storagePrefixParameter}{NSGLocation}'. | deployIfNotExists | 2.0.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per manager di rete (microsoft.network/networkmanagers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Manager di rete (microsoft.network/networkmanagers) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gestori di rete (microsoft.network/networkmanagers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per indirizzi IP pubblici (microsoft.network/publicipaddresses) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la regola limite di frequenza per proteggere da attacchi DDoS in Frontdoor di Azure WAF | La regola di limite di frequenza di Web application firewall (WAF) di Azure per Frontdoor di Azure controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Audit, Deny, Disabled | 1.0.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | rifiutare | 1.0.0 |
| Eseguire la migrazione del WAF dalla configurazione WAF ai criteri WAF nel gateway applicazione | Se si dispone della configurazione WAF anziché dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono essere connesse a una subnet approvata della rete virtuale approvata | Questo criterio impedisce alle interfacce di rete di connettersi a una rete virtuale o a una subnet non approvata. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. Se si imposta l'inoltro IP, il controllo dell'origine e della destinazione per un'interfaccia di rete eseguito in Azure viene disabilitato. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| I log dei flussi di Network Watcher devono avere abilitata l'analisi del traffico | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| I log delle risorse degli indirizzi IP pubblici devono essere abilitati per la Protezione DDoS di Azure | Abilitare i log delle risorse per gli indirizzi IP pubblici nelle impostazioni di diagnostica per lo streaming in un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico di attacco e sulle azioni intraprese per mitigare gli attacchi DDoS tramite notifiche, report e log dei flussi. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Gli indirizzi IP pubblici e i prefissi IP pubblici devono avere il tag FirstPartyUsage | Verificare che tutti gli indirizzi IP pubblici e i prefissi IP pubblici abbiano un tag FirstPartyUsage. | Audit, Deny, Disabled | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Le subnet devono essere private | Assicurarsi che le subnet siano protette per impostazione predefinita impedendo l'accesso in uscita predefinito. Per altre informazioni, passare a https://aka.ms/defaultoutboundaccessretirement | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile che gli hub virtuali siano protetti con Firewall di Azure | Distribuire un firewall di Azure negli hub virtuali per proteggere e controllare in modo granulare il traffico internet in uscita e in ingresso. | Audit, Deny, Disabled | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
| Le reti virtuali devono essere protette tramite Protezione DDoS di Azure | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Protezione DDoS di Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.