Udostępnij za pośrednictwem


Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 1.3.0 Regulatory Compliance

Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.3.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.3.0 Zgodność z przepisami.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

1 Zarządzanie tożsamościami i dostępem

Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich uprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.10 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Uprawnienia użytkownika-gościa są ograniczone" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.12 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.12 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Członkowie mogą zapraszać" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.13 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Goście mogą zapraszać" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.14 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Ogranicz dostęp do portalu administracyjnego usługi Azure AD" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Ogranicz możliwość dostępu użytkowników do funkcji grup w okienku dostępu" ma wartość "Nie"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.17 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu" jest ustawiona na "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynie Azure Portals" jest ustawiona na wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich nieuprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.2 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Wymagaj uwierzytelniania wieloskładnikowego do przyłączenia urządzeń" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.20 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Szkolenie mobilności dokumentów CMA_0191 — szkolenie mobilności dokumentów Ręczne, wyłączone 1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0
Zapewnianie szkolenia w zakresie prywatności CMA_0415 — zapewnianie szkolenia w zakresie prywatności Ręczne, wyłączone 1.1.0
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Upewnij się, że nie utworzono niestandardowych ról właściciela subskrypcji

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.21 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.21 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienia domyślne zabezpieczeń są włączone w usłudze Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Szkolenie mobilności dokumentów CMA_0191 — szkolenie mobilności dokumentów Ręczne, wyłączone 1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0
Zapewnianie szkolenia w zakresie prywatności CMA_0415 — zapewnianie szkolenia w zakresie prywatności Ręczne, wyłączone 1.1.0
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Upewnij się, że przypisano rolę niestandardową do administrowania blokadami zasobów

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.23 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.23 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że użytkownicy-goście są przeglądani co miesiąc

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie kont użytkowników CMA_0480 — przeglądanie kont użytkowników Ręczne, wyłączone 1.1.0
Przeglądanie uprawnień użytkownika CMA_C1039 — przeglądanie uprawnień użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Zezwalaj użytkownikom na zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniach, którym ufają", to "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania" nie jest ustawiona na wartość "0"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że "Powiadamiaj użytkowników o zresetowaniu haseł?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Monitorowanie przypisywania ról uprzywilejowanych CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Korzystanie z usługi Privileged Identity Management CMA_0533 — używanie usługi Privileged Identity Management Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.9 : współużytkowany)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

2 Security Center

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.1 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że wybrano integrację usługi Microsoft Cloud App Security (MCAS) z usługą Security Center

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.10 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Automatyczna aprowizacja agenta monitorowania" ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0

Upewnij się, że żadne z domyślnych ustawień zasad usługi ASC nie jest ustawione na wartość "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie akcji dla niezgodnych urządzeń CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń Ręczne, wyłączone 1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej Ręczne, wyłączone 1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń Ręczne, wyłączone 1.1.0
Ustanawianie tablicy sterowania konfiguracji CMA_0254 — ustanawianie tablicy sterowania konfiguracji Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana przy użyciu poczty e-mail kontaktu zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.13 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. AuditIfNotExists, Disabled 1.0.1

Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 2.14 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 1.2.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla usługi App Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów bazy danych Azure SQL Database

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów SQL na maszynach

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla usługi Storage

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Wł. dla platformy Kubernetes

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla rejestrów kontenerów

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla usługi Key Vault

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że wybrano integrację usługi Windows Defender ATP (WDATP) z usługą Security Center

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

3 konta magazynu

Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0
Bezpieczny transfer do kont magazynu powinien być włączony Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 2.0.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Blob Service dla żądań odczytu, zapisu i usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.10 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Table Service dla żądań odczytu, zapisu i usuwania

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.11 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że klucze dostępu do konta magazynu są okresowo ponownie generowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Kolejki dla żądań odczytu, zapisu i usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że tokeny sygnatury dostępu współdzielonego wygasają w ciągu godziny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyłączanie wystawców uwierzytelnień po zakończeniu CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Automatyczne kończenie sesji użytkownika CMA_C1054 — automatyczne kończenie sesji użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że dla kontenerów obiektów blob ustawiono wartość "Poziom dostępu publicznego"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.5 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu jest ustawiona na odmowę

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. Inspekcja, Odmowa, Wyłączone 1.0.1

Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona na potrzeby dostępu do konta magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0
Ustanawianie standardów konfiguracji zapory i routera CMA_0272 — ustanawianie standardów konfiguracji zapory i routera Ręczne, wyłączone 1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart Ręczne, wyłączone 1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi Ręczne, wyłączone 1.1.0
Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. Inspekcja, Odmowa, Wyłączone 1.0.0

Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu klucza zarządzanego przez klienta

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 3.9 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. Inspekcja, wyłączone 1.0.3

4 Usługi baz danych

Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Inspekcja na serwerze SQL powinna być włączona Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0

Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 3.0.0

Upewnij się, że opcja Advanced Threat Protection (ATP) na serwerze SQL jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0

Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 3.0.0

Upewnij się, że na serwerze SQL jest włączone ustawienie Okresowe skanowania cykliczne

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie Oceny luk w zabezpieczeń — Wysyłanie raportów skanowania do jest skonfigurowane dla serwera SQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach Ręczne, wyłączone 1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że dla serwera SQL ustawiono ustawienie "Wysyłanie powiadomień e-mail do administratorów i właścicieli subskrypcji"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach Ręczne, wyłączone 1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Wymuszaj połączenie SSL" jest ustawiona na wartość "ENABLED" dla serwera bazy danych MySQL

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. AuditIfNotExists, Disabled 1.0.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_retention_days" jest dłuższy niż 3 dni dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że opcja Zezwalaj na dostęp do usług platformy Azure dla serwera bazy danych PostgreSQL jest wyłączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0
Ustanawianie standardów konfiguracji zapory i routera CMA_0272 — ustanawianie standardów konfiguracji zapory i routera Ręczne, wyłączone 1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart Ręczne, wyłączone 1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi Ręczne, wyłączone 1.1.0

Upewnij się, że skonfigurowano administratora usługi Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.1

5 Rejestrowanie i monitorowanie

Upewnij się, że istnieje ustawienie diagnostyki

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie diagnostyczne przechwytuje odpowiednie kategorie

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że kontener magazynu przechowując dzienniki aktywności nie jest publicznie dostępny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Włączanie autoryzacji podwójnej lub wspólnej CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji Ręczne, wyłączone 1.1.0
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK (Użyj własnego klucza)

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Włączanie autoryzacji podwójnej lub wspólnej CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji Ręczne, wyłączone 1.1.0
Zachowaj integralność systemu inspekcji CMA_C1133 — utrzymywanie integralności systemu inspekcji Ręczne, wyłączone 1.1.0
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 3.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla przypisania zasad usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 3.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla reguły tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że dla reguły zapory programu SQL Server istnieje alert tworzenia lub aktualizowania lub usuwania dziennika aktywności

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 5.2.9 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że dzienniki diagnostyczne są włączone dla wszystkich usług, które je obsługują.

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared (CiS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. AuditIfNotExists, Disabled 2.0.1
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów na kontach usługi Batch powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w centrum zdarzeń powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze IoT Hub powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 3.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Logic Apps powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.1.0
Dzienniki zasobów w usługa wyszukiwania powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Service Bus powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

6 Sieci

Upewnij się, że żadne bazy danych SQL nie zezwalają na ruch przychodzący 0.0.0.0/0 (DOWOLNY adres IP)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.3 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 6.3 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0

Upewnij się, że okres przechowywania dziennika przepływu sieciowej grupy zabezpieczeń wynosi "więcej niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Network Watcher jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Network Watcher powinna być włączona Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0
Weryfikowanie funkcji zabezpieczeń CMA_C1708 — weryfikowanie funkcji zabezpieczeń Ręczne, wyłączone 1.1.0

7 Maszyny wirtualne

Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych inspekcje 1.0.0
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych Ręczne, wyłączone 1.1.0
Przeglądanie działań i analiz etykiet CMA_0474 — przeglądanie działań i analiz etykiet Ręczne, wyłączone 1.1.0

Upewnij się, że dyski systemu operacyjnego i danych są szyfrowane przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że "Niedołączone dyski" są szyfrowane przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. Inspekcja, Odmowa, Wyłączone 1.0.0

Upewnij się, że zastosowano najnowsze poprawki systemu operacyjnego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.5 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że jest zainstalowana ochrona punktu końcowego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center Serwery bez zainstalowanego agenta programu Endpoint Protection będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0

Upewnij się, że wirtualne dyski twarde są szyfrowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

8 Inne zagadnienia dotyczące zabezpieczeń

Upewnij się, że data wygaśnięcia jest ustawiona na wszystkich kluczach

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. Inspekcja, Odmowa, Wyłączone 1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona na wszystkie wpisy tajne

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. Inspekcja, Odmowa, Wyłączone 1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że blokady zasobów są ustawione dla zasobów platformy Azure o znaczeniu krytycznym

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że magazyn kluczy można odzyskać

IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Magazyny kluczy powinny mieć włączoną ochronę usuwania Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. Inspekcja, Odmowa, Wyłączone 2.1.0
Utrzymywanie dostępności informacji CMA_C1644 — utrzymywanie dostępności informacji Ręczne, wyłączone 1.1.0

Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0
Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. Inspekcja, wyłączone 1.0.4

9 AppService

Upewnij się, że uwierzytelnianie usługi App Service jest ustawione w usłudze aplikacja systemu Azure Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. AuditIfNotExists, Disabled 2.0.1
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0
Wymuszanie unikatowości użytkownika CMA_0250 — wymuszanie unikatowości użytkownika Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny mieć włączone uwierzytelnianie aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. AuditIfNotExists, Disabled 3.0.0
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne Ręczne, wyłączone 1.1.0

Upewnij się, że wdrożenia FTP są wyłączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że magazyny kluczy platformy Azure są używane do przechowywania wpisów tajnych

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.11 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją CMA_C1199 — upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Utrzymywanie dostępności informacji CMA_C1644 — utrzymywanie dostępności informacji Ręczne, wyłączone 1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 4.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. Inspekcja, wyłączone 3.1.0 — przestarzałe
Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. AuditIfNotExists, Disabled 1.0.0
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0

Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka PHP jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 9.6 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka Python jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.7 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.8 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy: