Wbudowane definicje usługi Azure Policy dla usługi Azure Resource Manager
Ta strona jest indeksem wbudowanych definicji zasad usługi Azure Policy dla usługi Azure Resource Manager. Aby uzyskać dodatkowe wbudowane funkcje usługi Azure Policy dla innych usług, zobacz Wbudowane definicje usługi Azure Policy.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja , aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Azure Resource Manager
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists, Disabled | 3.0.0 |
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Dziennik aktywności powinien być zachowywany przez co najmniej jeden rok | Te zasady sprawdzają dziennik aktywności, jeśli okres przechowywania nie jest ustawiony na 365 dni lub na zawsze (dni przechowywania ustawione na 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Dodaj tag do grup zasobów | Powoduje dodanie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. | Modyfikowanie | 1.0.0 |
| Dodawanie tagu do subskrypcji | Dodaje określony tag i wartość do subskrypcji za pośrednictwem zadania korygowania. Jeśli tag istnieje z inną wartością, nie zostanie zmieniony. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dodaj lub zamień tag w grupach zasobów | Powoduje dodanie lub zastąpienie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. | Modyfikowanie | 1.0.0 |
| Dodawanie lub zastępowanie tagu w subskrypcjach | Dodaje lub zastępuje określony tag i wartość dla subskrypcji za pośrednictwem zadania korygowania. Istniejące grupy zasobów można skorygować, wyzwalając zadanie korygowania. Zobacz https://aka.ms/azurepolicyremediation , aby uzyskać więcej informacji na temat korygowania zasad. | Modyfikowanie | 1.0.0 |
| Dozwolone lokalizacje dla grup zasobów | Te zasady umożliwiają ograniczenie lokalizacji, w których organizacja może tworzyć grupy zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. | odmowa | 1.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
| Dołączaj tag i jego wartość do grup zasobów | Powoduje dołączenie określonego tagu oraz wartości podczas tworzenia lub aktualizowania dowolnej grupy zasobów niemającej tego tagu. Tagi grup zasobów utworzonych przed zastosowaniem tych zasad nie są modyfikowane do czasu zmiany tych grup zasobów. Dostępne są nowe zasady efektu "modyfikuj", które obsługują korygowanie tagów w istniejących zasobach (zobacz https://aka.ms/modifydoc). | append | 1.0.0 |
| Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists, Disabled | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
| Profil dziennika usługi Azure Monitor powinien zbierać dzienniki dla kategorii "write", "delete" i "action" | Te zasady zapewniają, że profil dziennika zbiera dzienniki dla kategorii "write", "delete" i "action" | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Azure Monitor powinna zbierać dzienniki aktywności ze wszystkich regionów | Te zasady przeprowadzają inspekcję profilu dziennika usługi Azure Monitor, który nie eksportuje działań ze wszystkich regionów pomoc techniczna platformy Azure, w tym globalnych. | AuditIfNotExists, Disabled | 2.0.0 |
| Należy wdrożyć rozwiązanie Azure Monitor "Zabezpieczenia i inspekcja" | Te zasady zapewniają wdrożenie zabezpieczeń i inspekcji. | AuditIfNotExists, Disabled | 1.0.0 |
| Subskrypcje platformy Azure powinny mieć profil dziennika dla dziennika aktywności | Te zasady zapewniają włączenie profilu dziennika na potrzeby eksportowania dzienników aktywności. Przeprowadza inspekcję, czy nie utworzono profilu dziennika w celu wyeksportowania dzienników na konto magazynu lub do centrum zdarzeń. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie dzienników aktywności platformy Azure w celu przesyłania strumieniowego do określonego obszaru roboczego usługi Log Analytics | Wdraża ustawienia diagnostyczne działania platformy Azure w celu przesyłania strumieniowego dzienników inspekcji subskrypcji do obszaru roboczego usługi Log Analytics w celu monitorowania zdarzeń na poziomie subskrypcji | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla App Service na wartość Włączone | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla usługi Azure SQL Database na wartość Włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla relacyjnych baz danych typu open source na wartość Włączone | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Azure Defender dla usługi Resource Manager do wartości Włączone | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie usługi Azure Defender dla Serwerów na wartość Włączone | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie usługi Azure Defender dla serwerów SQL na maszynach na wartość Włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie podstawowej usługi Microsoft Defender for Storage do włączenia (tylko monitorowanie aktywności) | Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Te zasady umożliwią korzystanie z podstawowych funkcji usługi Defender for Storage (Monitorowanie aktywności). Aby włączyć pełną ochronę, która obejmuje również funkcję skanowania złośliwego oprogramowania podczas przekazywania i wykrywania zagrożeń poufnych danych, użyj zasad pełnego włączania: aka.ms/DefenderForStoragePolicy. Aby dowiedzieć się więcej o możliwościach i korzyściach usługi Defender for Storage, odwiedź stronę aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie odzyskiwania po awarii na maszynach wirtualnych przez włączenie replikacji za pośrednictwem usługi Azure Site Recovery | Maszyny wirtualne bez konfiguracji odzyskiwania po awarii są narażone na awarie i inne zakłócenia. Jeśli maszyna wirtualna nie ma jeszcze skonfigurowanego odzyskiwania po awarii, spowoduje to zainicjowanie tego samego przez włączenie replikacji przy użyciu wstępnie ustawionych konfiguracji w celu ułatwienia ciągłości działania. Opcjonalnie można dołączać/wykluczać maszyny wirtualne zawierające określony tag, aby kontrolować zakres przypisania. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Konfigurowanie obszaru roboczego usługi Log Analytics i konta automatyzacji w celu scentralizowanego rejestrowania i monitorowania | Wdróż grupę zasobów zawierającą obszar roboczy usługi Log Analytics i połączone konto automatyzacji, aby scentralizować dzienniki i monitorowanie. Konto automatyzacji jest aprerequisite dla rozwiązań, takich jak Aktualizacje i Śledzenie zmian. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Konfigurowanie planu CSPM w usłudze Defender firmy Microsoft | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie CSPM w usłudze Defender Microsoft na pozycję Włączone | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie usługi Microsoft Defender dla usługi Azure Cosmos DB na wartość Włączone | Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie planu usługi Microsoft Defender for Containers | Nowe funkcje są stale dodawane do planu usługi Defender for Containers, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender dla Kontenerów w celu włączenia | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP_EXCLUDE_LINUX...) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender dla Chmury (znanej również jako WDATP_EXCLUDE_LINUX_...) na potrzeby włączania automatycznej aprowizacji oprogramowania MDE dla serwerów z systemem Linux. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP_UNIFIED_SOLUTION) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP_UNIFIED_SOLUTION) w celu włączenia automatycznej aprowizacji programu MDE Unified Agent dla systemu Windows Server 2012R2 i 2016. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP) dla komputerów z systemem Windows dołączonych do rozwiązania MDE za pośrednictwem programu MMA oraz automatycznej aprowizacji oprogramowania MDE w systemie Windows Server 2019, Windows Virtual Desktop i nowszych wersjach. Aby inne ustawienia (WDATP_UNIFIED itp.), muszą być włączone. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie planu usługi Microsoft Defender for Key Vault | Usługa Microsoft Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurowanie planu usługi Microsoft Defender dla serwerów | Nowe funkcje są stale dodawane do usługi Defender for Servers, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie usługi Microsoft Defender for Storage (klasycznej) do włączenia | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | DeployIfNotExists, Disabled | 1.0.2 |
| Konfigurowanie usługi Microsoft Defender for Storage do włączenia | Usługa Microsoft Defender for Storage to natywna dla platformy Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Te zasady będą włączać wszystkie możliwości usługi Defender for Storage; Monitorowanie działań, skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Aby dowiedzieć się więcej o możliwościach i korzyściach usługi Defender for Storage, odwiedź stronę aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
| Konfigurowanie ochrony przed zagrożeniami w usłudze Microsoft Defender dla obciążeń sztucznej inteligencji | Nowe możliwości są stale dodawane do ochrony przed zagrożeniami dla obciążeń sztucznej inteligencji, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurowanie subskrypcji do konfigurowania funkcji w wersji zapoznawczej | Te zasady oceniają funkcje w wersji zapoznawczej istniejącej subskrypcji. Subskrypcje można skorygować w celu zarejestrowania się w nowej funkcji w wersji zapoznawczej. Nowe subskrypcje nie zostaną automatycznie zarejestrowane. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Wdrażanie — konfigurowanie reguł pomijania dla alertów usługi Azure Security Center | Pomijanie alertów usługi Azure Security Center w celu zmniejszenia zmęczenia alertów przez wdrożenie reguł pomijania w grupie zarządzania lub subskrypcji. | deployIfNotExists | 1.0.0 |
| Wdrażanie eksportu do centrum zdarzeń jako zaufanej usługi na potrzeby Microsoft Defender dla Chmury danych | Włącz eksportowanie do centrum zdarzeń jako zaufaną usługę Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do centrum zdarzeń jako konfigurację zaufanej usługi z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | DeployIfNotExists, Disabled | 1.0.0 |
| Wdrażanie eksportu do centrum zdarzeń na potrzeby danych Microsoft Defender dla Chmury | Włącz eksportowanie do centrum zdarzeń Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do konfiguracji centrum zdarzeń z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.2.0 |
| Wdrażanie eksportu do obszaru roboczego usługi Log Analytics na potrzeby Microsoft Defender dla Chmury danych | Włącz eksportowanie do obszaru roboczego usługi Log Analytics Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do konfiguracji obszaru roboczego usługi Log Analytics z warunkami i docelowym obszarem roboczym w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.1.0 |
| Wdrażanie automatyzacji przepływu pracy dla alertów usługi Microsoft Defender for Cloud | Włącz automatyzację alertów Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Wdrażanie automatyzacji przepływu pracy dla rekomendacji usługi Microsoft Defender for Cloud | Włącz automatyzację zaleceń dotyczących Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Wdrażanie automatyzacji przepływu pracy na potrzeby zgodności z przepisami Microsoft Defender dla Chmury | Włącz automatyzację zgodności z przepisami Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.2.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 2.1.0 |
| Włączanie Microsoft Defender dla Chmury w ramach subskrypcji | Identyfikuje istniejące subskrypcje, które nie są monitorowane przez Microsoft Defender dla Chmury i chroni je za pomocą bezpłatnych funkcji Defender dla Chmury. Subskrypcje już monitorowane będą uznawane za zgodne. Aby zarejestrować nowo utworzone subskrypcje, otwórz kartę zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 1.0.1 |
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu niestandardowego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu niestandardowego obszaru roboczego. | DeployIfNotExists, Disabled | 1.0.0 |
| Włącz automatyczną aprowizację agenta usługi Log Analytics w usłudze Security Center w subskrypcjach przy użyciu domyślnego obszaru roboczego. | Zezwól usłudze Security Center na automatyczną aprowizację agenta usługi Log Analytics w subskrypcjach na monitorowanie i zbieranie danych zabezpieczeń przy użyciu domyślnego obszaru roboczego usługi ASC. | DeployIfNotExists, Disabled | 1.0.0 |
| Włączanie ochrony przed zagrożeniami dla obciążeń sztucznej inteligencji | Ochrona przed zagrożeniami firmy Microsoft dla obciążeń sztucznej inteligencji udostępnia kontekstowe alerty zabezpieczeń oparte na dowodach mające na celu ochronę aplikacji generowanych przez sztuczną inteligencję w domu | DeployIfNotExists, Disabled | 1.0.0 |
| Wykluczanie zasobów kosztów użycia | Te zasady umożliwiają uwidocznienie zasobów kosztów użycia. Koszty użycia obejmują elementy, takie jak magazyn mierzony i zasoby platformy Azure, które są rozliczane na podstawie użycia. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists, Disabled | 1.0.3 |
| Usługa Microsoft Defender dla usługi Azure Cosmos DB powinna być włączona | Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów. | AuditIfNotExists, Disabled | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists, Disabled | 1.0.0 |
| Wymagaj tagu i jego wartości w grupach zasobów | Wymusza wymagany tag i jego wartość na grupach zasobów. | odmowa | 1.0.0 |
| Wymagaj tagu w grupach zasobów | Wymusza obecność tagu w grupach zasobów. | odmowa | 1.0.0 |
| Konfigurowanie subskrypcji w celu przejścia do alternatywnego rozwiązania do oceny luk w zabezpieczeniach | Usługa Microsoft Defender dla chmury oferuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Włączenie tych zasad spowoduje, że Defender dla Chmury automatycznie propagować wyniki z wbudowanego rozwiązania usługi Microsoft Defender zarządzanie lukami w zabezpieczeniach do wszystkich obsługiwanych maszyn. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists, Disabled | 3.0.0 |
Następne kroki
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.
- Przejrzyj temat Struktura definicji zasad Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.