Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 2.0.0 Zgodność z przepisami

Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 2.0.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 2.0.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 2.0.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 2.0.0 Zgodność z przepisami.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

1.1

Upewnij się, że ustawienia domyślne zabezpieczeń są włączone w usłudze Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich uprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Stan uwierzytelniania wieloskładnikowego" ma wartość "Włączone" dla wszystkich użytkowników niebędących uprzywilejowanych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe	Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów.	AuditIfNotExists, Disabled	1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Zezwalaj użytkownikom na zapamiętanie uwierzytelniania wieloskładnikowego na zaufanych urządzeniach" jest wyłączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

1

Upewnij się, że opcja "Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło?". jest ustawiona na wartość "Tak"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.10 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia	CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Monitorowanie przypisywania ról uprzywilejowanych	CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do uprzywilejowanych kont	CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Korzystanie z usługi Privileged Identity Management	CMA_0533 — używanie usługi Privileged Identity Management	Ręczne, wyłączone	1.1.0

Upewnij się, że User consent for applications ustawiono wartość Do not allow user consent

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.11 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą dodawać aplikacje z galerii do Moje aplikacje" jest ustawiona na wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.13 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.14 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Ograniczenia dostępu użytkowników-gości" jest ustawione na wartość "Dostęp użytkowników-gości jest ograniczony do właściwości i członkostwa w ich własnych obiektach katalogu"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Ograniczenia zapraszania gościa" ma wartość "Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać użytkowników-gości"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Ogranicz dostęp do portalu administracyjnego usługi Azure AD" ma wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.17 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Ogranicz możliwość dostępu użytkowników do funkcji grup w okienku dostępu" ma wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy zabezpieczeń w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Właściciele mogą zarządzać żądaniami członkostwa w grupie w Panel dostępu" jest ustawiona na "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.20 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy platformy Microsoft 365 w witrynach Azure Portal, interfejsie API lub programie PowerShell" jest ustawiona na wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.21 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.21 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń w usłudze Azure AD" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego	CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu zdalnego	CMA_0024 — autoryzowanie dostępu zdalnego	Ręczne, wyłączone	1.1.0
Szkolenie mobilności dokumentów	CMA_0191 — szkolenie mobilności dokumentów	Ręczne, wyłączone	1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego	CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego	Ręczne, wyłączone	1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych	CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych	Ręczne, wyłączone	1.1.0
Zapewnianie szkolenia w zakresie prywatności	CMA_0415 — zapewnianie szkolenia w zakresie prywatności	Ręczne, wyłączone	1.1.0
Spełnianie wymagań dotyczących jakości tokenów	CMA_0487 — spełnianie wymagań dotyczących jakości tokenu	Ręczne, wyłączone	1.1.0

Upewnij się, że nie istnieją żadne niestandardowe role administratora subskrypcji

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.23 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.23 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja użycia niestandardowych ról RBAC	Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń	Inspekcja, wyłączone	1.0.1
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Projektowanie modelu kontroli dostępu	CMA_0129 — projektowanie modelu kontroli dostępu	Ręczne, wyłączone	1.1.0
Stosowanie dostępu z najniższymi uprawnieniami	CMA_0212 — stosowanie dostępu do najniższych uprawnień	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że rola niestandardowa ma przypisane uprawnienia do administrowania blokadami zasobów

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.24 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.24 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

Upewnij się, że użytkownicy-goście są regularnie przeglądani

Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć	Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte	Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi.	AuditIfNotExists, Disabled	1.0.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami	CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Przeglądanie dzienników aprowizacji kont	CMA_0460 — przeglądanie dzienników aprowizacji kont	Ręczne, wyłączone	1.1.0
Przeglądanie kont użytkowników	CMA_0480 — przeglądanie kont użytkowników	Ręczne, wyłączone	1.1.0
Przeglądanie uprawnień użytkownika	CMA_C1039 — przeglądanie uprawnień użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania" nie jest ustawiona na wartość "0".

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że "Powiadamiaj użytkowników o zresetowaniu haseł?". jest ustawiona na wartość "Tak"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.9 : współużytkowany)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia	CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

10

Upewnij się, że blokady zasobów są ustawione dla zasobów platformy Azure o znaczeniu krytycznym

ID: CIS Microsoft Azure Foundations Benchmark recommendation 10.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie i dokumentowanie procesów kontroli zmian	CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian	Ręczne, wyłączone	1.1.0

2.1

Upewnij się, że usługa Microsoft Defender dla serwerów jest ustawiona na wartość "Włączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla serwerów powinna być włączona	Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla usługi Key Vault jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.10 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla usługi Key Vault powinna być włączona	Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla systemu DNS jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.11 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Przestarzałe]: usługa Azure Defender dla systemu DNS powinna być włączona	Ta definicja zasad nie jest już zalecanym sposobem osiągnięcia jej intencji, ponieważ pakiet DNS jest przestarzały. Zamiast nadal używać tych zasad, zalecamy przypisanie tych zasad zastępczych z identyfikatorem zasad 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Dowiedz się więcej o wycofaniu definicji zasad na stronie aka.ms/policydefdeprecation	AuditIfNotExists, Disabled	1.1.0 przestarzałe

Upewnij się, że usługa Microsoft Defender dla usługi Resource Manager jest ustawiona na wartość "Włączone"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.12 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla usługi Resource Manager powinna być włączona	Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, Disabled	1.0.0

Upewnij się, że stan "Zastosuj aktualizacje systemu" w usłudze Microsoft Defender to "Ukończono"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.13 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu	Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Inspekcja, Odmowa, Wyłączone	3.7.0

Upewnij się, że żadne z domyślnych ustawień zasad usługi ASC nie jest ustawione na wartość "Wyłączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.14 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie akcji dla niezgodnych urządzeń	CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń	Ręczne, wyłączone	1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia	CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej	Ręczne, wyłączone	1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń	CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń	Ręczne, wyłączone	1.1.0
Ustanawianie tablicy sterowania konfiguracji	CMA_0254 — ustanawianie tablicy sterowania konfiguracji	Ręczne, wyłączone	1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją	CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją	Ręczne, wyłączone	1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją	Ręczne, wyłączone	1.1.0

Upewnij się, że automatyczna aprowizacja agenta usługi Log Analytics dla maszyn wirtualnych platformy Azure ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.15 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0

Upewnij się, że automatyczna aprowizacja składników usługi Microsoft Defender for Containers jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.17 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Należy włączyć usługę Microsoft Defender for Containers	Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana przy użyciu poczty e-mail kontaktu zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.19 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center.	AuditIfNotExists, Disabled	1.0.1

Upewnij się, że usługa Microsoft Defender for App Services jest ustawiona na wartość "Włączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender for App Service powinna być włączona	Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych.	AuditIfNotExists, Disabled	1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.20 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone	Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center.	AuditIfNotExists, Disabled	1.2.0

Upewnij się, że integracja aplikacji Microsoft Defender dla Chmury z Microsoft Defender dla Chmury jest wybrana

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.21 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że wybrano Ochrona punktu końcowego w usłudze Microsoft Defender integrację z Microsoft Defender dla Chmury

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.22 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla baz danych jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona	Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center	AuditIfNotExists, Disabled	1.0.0
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Usługa Microsoft Defender dla usługi Azure Cosmos DB powinna być włączona	Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów.	AuditIfNotExists, Disabled	1.0.0

Upewnij się, że usługa Microsoft Defender dla usługi Azure SQL Database jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla serwerów SQL na maszynach jest ustawiona na wartość "Włączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.5 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 2.1.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach	Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych.	AuditIfNotExists, Disabled	1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla relacyjnych baz danych typu open source jest ustawiona na wartość "włączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona	Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source pod adresem https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center	AuditIfNotExists, Disabled	1.0.0

Upewnij się, że usługa Microsoft Defender for Storage jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Usługa Microsoft Defender for Storage powinna być włączona	Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla kontenerów jest ustawiona na wartość "Włączone"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.8 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 2.1.8 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Należy włączyć usługę Microsoft Defender for Containers	Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes.	AuditIfNotExists, Disabled	1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Microsoft Defender dla usługi Azure Cosmos DB jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1.9 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Microsoft Defender dla usługi Azure Cosmos DB powinna być włączona	Usługa Microsoft Defender dla usługi Azure Cosmos DB to natywna dla platformy Azure warstwa zabezpieczeń, która wykrywa próby wykorzystania baz danych na kontach usługi Azure Cosmos DB. Usługa Defender for Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na usłudze Microsoft Threat Intelligence, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości z naruszonymi zagrożeniami lub złośliwych testerów.	AuditIfNotExists, Disabled	1.0.0

3

Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Bezpieczny transfer do kont magazynu powinien być włączony	Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji	Inspekcja, Odmowa, Wyłączone	2.0.0

Upewnij się, że prywatne punkty końcowe są używane do uzyskiwania dostępu do kont magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.10 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta magazynu powinny używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, Disabled	2.0.0

Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu kluczy zarządzanych przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.12 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania	Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych.	Inspekcja, wyłączone	1.0.3

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Blob Service dla żądań "Odczyt", "Zapis" i "Usuń"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.13 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Table Service dla żądań "Odczyt", "Zapis" i "Usuń"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.14 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.14 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że dla kont magazynu ustawiono wartość "Minimalna wersja protokołu TLS" na "Wersja 1.2"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.15 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0
Konta magazynu powinny mieć określoną minimalną wersję protokołu TLS	Skonfiguruj minimalną wersję protokołu TLS na potrzeby bezpiecznej komunikacji między aplikacją kliencką a kontem magazynu. Aby zminimalizować ryzyko bezpieczeństwa, zalecana minimalna wersja protokołu TLS to najnowsza wersja, która jest obecnie protokołem TLS 1.2.	Inspekcja, Odmowa, Wyłączone	1.0.0

Upewnij się, że opcja "Włącz szyfrowanie infrastruktury" dla każdego konta magazynu w usłudze Azure Storage jest ustawiona na wartość "włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta magazynu powinny mieć szyfrowanie infrastruktury	Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy.	Inspekcja, Odmowa, Wyłączone	1.0.0

Upewnij się, że klucze dostępu do konta magazynu są okresowo ponownie generowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi kolejki dla żądań "Odczyt", "Zapis" i "Usuń"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że tokeny sygnatury dostępu współdzielonego wygasają w ciągu godziny

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wyłączanie wystawców uwierzytelnień po zakończeniu	CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu	Ręczne, wyłączone	1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami	CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami	Ręczne, wyłączone	1.1.0
Automatyczne kończenie sesji użytkownika	CMA_C1054 — automatyczne kończenie sesji użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że poziom dostępu publicznego jest wyłączony dla kont magazynu z kontenerami obiektów blob

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony	Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	3.1.0-preview
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji	CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji	Ręczne, wyłączone	1.1.0
Autoryzowanie dostępu i zarządzanie nim	CMA_0023 — autoryzowanie dostępu i zarządzanie nim	Ręczne, wyłączone	1.1.0
Wymuszanie dostępu logicznego	CMA_0245 — wymuszanie dostępu logicznego	Ręczne, wyłączone	1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu	Ręczne, wyłączone	1.1.0
Wymagaj zatwierdzenia do utworzenia konta	CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta	Ręczne, wyłączone	1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych	Ręczne, wyłączone	1.1.0

Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu ma ustawioną wartość Odmów

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.8 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta magazynu powinny ograniczać dostęp sieciowy	Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych	Inspekcja, Odmowa, Wyłączone	1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej	Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu.	Inspekcja, Odmowa, Wyłączone	1.0.1

Upewnij się, że pozycja "Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego konta magazynu" jest włączona dla dostępu do konta magazynu

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 3.9 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie standardów konfiguracji zapory i routera	CMA_0272 — ustanawianie standardów konfiguracji zapory i routera	Ręczne, wyłączone	1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty	CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart	Ręczne, wyłączone	1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	Ręczne, wyłączone	1.1.0
Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft	Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu.	Inspekcja, Odmowa, Wyłączone	1.0.0

4.1

Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Inspekcja na serwerze SQL powinna być włączona	Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji.	AuditIfNotExists, Disabled	2.0.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że żadne bazy danych Azure SQL Database nie zezwalają na ruch przychodzący z adresu 0.0.0.0/0 (DOWOLNY ADRES IP)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony	Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej.	Inspekcja, Odmowa, Wyłączone	1.1.0

Upewnij się, że funkcja ochrony Transparent Data Encryption (TDE) programu SQL Server jest szyfrowana przy użyciu klucza zarządzanego przez klienta

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności.	Inspekcja, Odmowa, Wyłączone	2.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych	Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności.	Inspekcja, Odmowa, Wyłączone	2.0.1

Upewnij się, że administrator usługi Azure Active Directory jest skonfigurowany dla serwerów SQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.4 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.1.4 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL	Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft	AuditIfNotExists, Disabled	1.0.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL	Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności	AuditIfNotExists, Disabled	2.0.0

Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.6 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.1.6 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym	W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi.	AuditIfNotExists, Disabled	3.0.0

4.2

Upewnij się, że usługa Microsoft Defender dla sql jest ustawiona na wartość "Włączone" dla krytycznych serwerów SQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL	Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security	AuditIfNotExists, Disabled	2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL	Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych.	AuditIfNotExists, Disabled	1.0.2
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0

Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance	Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL	Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że ustawienie oceny luk w zabezpieczeniach (VA) jest ustawione na wartość "Włączone" dla każdego serwera SQL

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance	Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	1.0.1

Upewnij się, że ustawienie Oceny luk w zabezpieczeniach (VA) "Wysyłanie raportów skanowania do" jest skonfigurowane dla serwera SQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL	Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że dla każdego programu SQL Server ustawiono ustawienie "Wysyłanie powiadomień e-mail do administratorów i właścicieli subskrypcji"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Korelowanie informacji o skanowaniu luk w zabezpieczeniach	CMA_C1558 — korelowanie informacji o skanowaniu luk w zabezpieczeniach	Ręczne, wyłączone	1.1.1
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach	Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	4.1.0
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL	Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych.	AuditIfNotExists, Disabled	3.0.0

4.3

Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL	Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych.	Inspekcja, wyłączone	1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL.	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections.	AuditIfNotExists, Disabled	1.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL	Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł.	AuditIfNotExists, Disabled	1.0.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że parametr serwera "log_retention_days" jest dłuższy niż 3 dni dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja Zezwalaj na dostęp do usług platformy Azure dla serwera bazy danych PostgreSQL jest wyłączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przepływ informacji sterujących	CMA_0079 — przepływ informacji sterujących	Ręczne, wyłączone	1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji	Ręczne, wyłączone	1.1.0
Ustanawianie standardów konfiguracji zapory i routera	CMA_0272 — ustanawianie standardów konfiguracji zapory i routera	Ręczne, wyłączone	1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty	CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart	Ręczne, wyłączone	1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi	Ręczne, wyłączone	1.1.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych PostgreSQL	Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for PostgreSQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP.	Inspekcja, Odmowa, Wyłączone	3.1.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL	Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej.	Inspekcja, Odmowa, Wyłączone	2.0.1

Upewnij się, że opcja "Podwójne szyfrowanie infrastruktury" dla serwera bazy danych PostgreSQL jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL	Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2	Inspekcja, Odmowa, Wyłączone	1.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

4.4

Upewnij się, że dla serwera bazy danych MySQL w warstwie Standardowa ustawiono wartość "Wymuszaj połączenie SSL"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL	Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych.	Inspekcja, wyłączone	1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że dla elastycznego serwera bazy danych MySQL ustawiono wartość "WERSJA PROTOKOŁU TLS 1.2"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

4.5

Upewnij się, że opcja "Zapory i sieci" jest ograniczona do używania wybranych sieci zamiast wszystkich sieci

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.5.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta usługi Azure Cosmos DB powinny mieć reguły zapory	Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne.	Inspekcja, Odmowa, Wyłączone	2.1.0

Upewnij się, że prywatne punkty końcowe są używane tam, gdzie to możliwe

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta usługi CosmosDB powinny używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Inspekcja, wyłączone	1.0.0

Użyj uwierzytelniania klienta usługi Azure Active Directory (AAD) i kontroli dostępu opartej na rolach platformy Azure, jeśli to możliwe.

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.5.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Konta bazy danych usługi Cosmos DB powinny mieć wyłączone lokalne metody uwierzytelniania	Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta bazy danych usługi Cosmos DB wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Inspekcja, Odmowa, Wyłączone	1.1.0

5,1

Upewnij się, że istnieje ustawienie diagnostyczne

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że ustawienie diagnostyczne przechwytuje odpowiednie kategorie

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad	Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	3.0.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń	Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że kontener magazynu przechowując dzienniki aktywności nie jest publicznie dostępny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony	Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga.	inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone	3.1.0-preview
Włączanie autoryzacji podwójnej lub wspólnej	CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji	Ręczne, wyłączone	1.1.0
Ochrona informacji inspekcji	CMA_0401 — ochrona informacji inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane przy użyciu klucza zarządzanego przez klienta

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Włączanie autoryzacji podwójnej lub wspólnej	CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji	Ręczne, wyłączone	1.1.0
Zachowaj integralność systemu inspekcji	CMA_C1133 — utrzymywanie integralności systemu inspekcji	Ręczne, wyłączone	1.1.0
Ochrona informacji inspekcji	CMA_0401 — ochrona informacji inspekcji	Ręczne, wyłączone	1.1.0
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK	Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Upewnij się, że rejestrowanie w usłudze Azure Key Vault jest włączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

Upewnij się, że dzienniki przepływu sieciowej grupy zabezpieczeń są przechwytywane i wysyłane do usługi Log Analytics

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Wszystkie zasoby dziennika przepływu powinny być w stanie włączonym	Przeprowadź inspekcję zasobów dziennika przepływu, aby sprawdzić, czy stan dziennika przepływu jest włączony. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o przepływie ruchu IP. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.	Inspekcja, wyłączone	1.0.1
Inspekcja konfiguracji dzienników przepływu dla każdej sieci wirtualnej	Przeprowadź inspekcję dla sieci wirtualnej, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym przez sieć wirtualną. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.	Inspekcja, wyłączone	1.0.1
Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń	Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko.	Inspekcja, wyłączone	1.1.0

5.2

Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad	Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	3.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla przypisania zasad usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad	Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	3.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla reguły tworzenia lub aktualizowania zapory programu SQL Server

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

Upewnij się, że dla reguły zapory programu SQL Server istnieje alert dziennika aktywności

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Personel alertów dotyczący rozlewu informacji	CMA_0007 — personel alertów dotyczący wycieku informacji	Ręczne, wyłączone	1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych	Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności.	AuditIfNotExists, Disabled	1.0.0
Opracowywanie planu reagowania na zdarzenia	CMA_0145 — opracowywanie planu reagowania na zdarzenia	Ręczne, wyłączone	1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji	Ręczne, wyłączone	1.1.0

5

Upewnij się, że rejestrowanie zasobów usługi Azure Monitor jest włączone dla wszystkich usług, które go obsługują

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów	Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona.	AuditIfNotExists, Disabled	2.0.1
Inspekcja funkcji uprzywilejowanych	CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych	Ręczne, wyłączone	1.1.0
Inspekcja stanu konta użytkownika	CMA_0020 — inspekcja stanu konta użytkownika	Ręczne, wyłączone	1.1.0
Konfigurowanie możliwości inspekcji platformy Azure	CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure	Ręczne, wyłączone	1.1.1
Określanie zdarzeń z możliwością inspekcji	CMA_0137 — określanie zdarzeń możliwych do inspekcji	Ręczne, wyłączone	1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji	CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji	Ręczne, wyłączone	1.1.0
Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów na kontach usługi Batch powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w centrum zdarzeń powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze IoT Hub powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	3.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Logic Apps powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.1.0
Dzienniki zasobów w usługa wyszukiwania powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Dzienniki zasobów w usłudze Service Bus powinny być włączone	Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci	AuditIfNotExists, Disabled	5.0.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0
Przeglądanie danych inspekcji	CMA_0466 — przeglądanie danych inspekcji	Ręczne, wyłączone	1.1.0

6

Upewnij się, że dostęp RDP z Internetu jest oceniany i ograniczony

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 6.1 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Porty zarządzania powinny być zamknięte na maszynach wirtualnych	Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że dostęp SSH z Internetu jest oceniany i ograniczony

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 6.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 6.2 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Porty zarządzania powinny być zamknięte na maszynach wirtualnych	Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny.	AuditIfNotExists, Disabled	3.0.0

Upewnij się, że okres przechowywania dziennika przepływu sieciowej grupy zabezpieczeń wynosi "więcej niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania	CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania	Ręczne, wyłączone	1.1.0
Zachowywanie zasad i procedur zabezpieczeń	CMA_0454 — zachowanie zasad i procedur zabezpieczeń	Ręczne, wyłączone	1.1.0
Zachowywanie danych zakończonych użytkowników	CMA_0455 — zachowywanie zakończonych danych użytkownika	Ręczne, wyłączone	1.1.0

Upewnij się, że usługa Network Watcher jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Network Watcher powinna być włączona	Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie.	AuditIfNotExists, Disabled	3.0.0
Weryfikowanie funkcji zabezpieczeń	CMA_C1708 — weryfikowanie funkcji zabezpieczeń	Ręczne, wyłączone	1.1.0

7

Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych	Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych	inspekcje	1.0.0
Kontrolowanie dostępu fizycznego	CMA_0081 — kontrolowanie dostępu fizycznego	Ręczne, wyłączone	1.1.0
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych	CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych	Ręczne, wyłączone	1.1.0
Przeglądanie działań i analiz etykiet	CMA_0474 — przeglądanie działań i analiz etykiet	Ręczne, wyłączone	1.1.0

Upewnij się, że dyski systemu operacyjnego i danych są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.3 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

Upewnij się, że "Niedołączone dyski" są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta	Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption.	Inspekcja, Odmowa, Wyłączone	1.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

Upewnij się, że zainstalowane są tylko zatwierdzone rozszerzenia

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.5 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej	Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone.	Inspekcja, Odmowa, Wyłączone	1.0.0

Upewnij się, że program Endpoint Protection dla wszystkich maszyn wirtualnych jest zainstalowany

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB	Ręczne, wyłączone	1.1.0
Operacje zabezpieczeń dokumentu	CMA_0202 — operacje zabezpieczeń dokumentu	Ręczne, wyłączone	1.1.0
Zarządzanie bramami	CMA_0363 — zarządzanie bramami	Ręczne, wyłączone	1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń	CMA_0389 — przeprowadzanie analizy trendów zagrożeń	Ręczne, wyłączone	1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach	CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania	Ręczne, wyłączone	1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami	CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami	Ręczne, wyłączone	1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego	Ręczne, wyłączone	1.1.0
Aktualizowanie definicji oprogramowania antywirusowego	CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego	Ręczne, wyłączone	1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji	Ręczne, wyłączone	1.1.0

[Starsza wersja] Upewnij się, że wirtualne dyski twarde są szyfrowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.7 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Ustanawianie procedury zarządzania wyciekami danych	CMA_0255 — ustanawianie procedury zarządzania wyciekami danych	Ręczne, wyłączone	1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona informacji specjalnych	CMA_0409 — ochrona informacji specjalnych	Ręczne, wyłączone	1.1.0

8

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy RBAC

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia	Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich kluczy w magazynach kluczy innych niż RBAC.

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia	Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy RBAC

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.3 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia	Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona dla wszystkich wpisów tajnych w magazynach kluczy innych niż RBAC

IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia	Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych.	Inspekcja, Odmowa, Wyłączone	1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że magazyn kluczy jest możliwy do odzyskania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Magazyny kluczy powinny mieć włączoną ochronę usuwania	Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe.	Inspekcja, Odmowa, Wyłączone	2.1.0
Magazyny kluczy powinny mieć włączone usuwanie nietrwałe	Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania.	Inspekcja, Odmowa, Wyłączone	3.0.0

Włączanie kontroli dostępu opartej na rolach dla usługi Azure Key Vault

Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 8.6: współdzielona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Key Vault powinna używać modelu uprawnień RBAC	Włącz model uprawnień RBAC w usłudze Key Vault. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Inspekcja, Odmowa, Wyłączone	1.0.1

Upewnij się, że prywatne punkty końcowe są używane dla usługi Azure Key Vault

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Usługa Azure Key Vault powinna używać łącza prywatnego	Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Upewnij się, że automatyczna rotacja kluczy jest włączona w usłudze Azure Key Vault dla obsługiwanych usług

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 8.8 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Klucze powinny mieć zasady rotacji zapewniające, że ich rotacja jest zaplanowana w ciągu określonej liczby dni po utworzeniu.	Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalną liczbę dni po utworzeniu klucza do czasu jego rotacji.	Inspekcja, wyłączone	1.0.0

9

Upewnij się, że uwierzytelnianie usługi App Service jest skonfigurowane dla aplikacji w usłudze aplikacja systemu Azure Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie	aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej.	AuditIfNotExists, Disabled	2.0.1
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0
Wymuszanie unikatowości użytkownika	CMA_0250 — wymuszanie unikatowości użytkownika	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny mieć włączone uwierzytelnianie	aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji.	AuditIfNotExists, Disabled	3.0.0
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne	CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne	Ręczne, wyłączone	1.1.0

Upewnij się, że wdrożenia FTP są wyłączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS	Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń.	AuditIfNotExists, Disabled	3.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny wymagać tylko protokołu FTPS	Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń.	AuditIfNotExists, Disabled	3.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że magazyny kluczy platformy Azure są używane do przechowywania wpisów tajnych

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.11 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Definiowanie fizycznego procesu zarządzania kluczami	CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami	Ręczne, wyłączone	1.1.0
Definiowanie użycia kryptograficznego	CMA_0120 — definiowanie użycia kryptograficznego	Ręczne, wyłączone	1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Określanie wymagań dotyczących asercji	CMA_0136 — określanie wymagań asercji	Ręczne, wyłączone	1.1.0
Upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją	CMA_C1199 — upewnij się, że mechanizmy kryptograficzne są objęte zarządzaniem konfiguracją	Ręczne, wyłączone	1.1.0
Wystawianie certyfikatów kluczy publicznych	CMA_0347 — wystawianie certyfikatów kluczy publicznych	Ręczne, wyłączone	1.1.0
Utrzymywanie dostępności informacji	CMA_C1644 — utrzymywanie dostępności informacji	Ręczne, wyłączone	1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi	CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi	Ręczne, wyłączone	1.1.0
Ograniczanie dostępu do kluczy prywatnych	CMA_0445 — ograniczanie dostępu do kluczy prywatnych	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS	Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej.	Inspekcja, Wyłączone, Odmowa	4.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS	Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji.	AuditIfNotExists, Disabled	2.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS	Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji.	AuditIfNotExists, Disabled	2.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania	CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania	Ręczne, wyłączone	1.1.0
Ochrona haseł za pomocą szyfrowania	CMA_0408 — ochrona haseł za pomocą szyfrowania	Ręczne, wyłączone	1.1.0

Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
[Przestarzałe]: aplikacje usługi App Service powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)"	Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta.	Inspekcja, wyłączone	3.1.0 — przestarzałe
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)"	Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta.	Inspekcja, wyłączone	3.1.0 — przestarzałe
Uwierzytelnianie w module kryptograficznym	CMA_0021 — uwierzytelnianie w module kryptograficznym	Ręczne, wyłączone	1.1.0

Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać tożsamości zarządzanej	Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania	AuditIfNotExists, Disabled	3.0.0
Automatyzowanie zarządzania kontami	CMA_0026 — automatyzowanie zarządzania kontami	Ręczne, wyłączone	1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej	Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania	AuditIfNotExists, Disabled	3.0.0
Zarządzanie kontami systemowymi i administracyjnymi	CMA_0368 — zarządzanie kontami systemu i administratorów	Ręczne, wyłączone	1.1.0
Monitorowanie dostępu w całej organizacji	CMA_0376 — monitorowanie dostępu w całej organizacji	Ręczne, wyłączone	1.1.0
Powiadamianie, gdy konto nie jest potrzebne	CMA_0383 — powiadom, gdy konto nie jest potrzebne	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Wersja PHP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 9.6 : własność udostępniona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Miejsca aplikacji usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP	Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania.	AuditIfNotExists, Disabled	1.0.0
Aplikacje usługi App Service korzystające z języka PHP powinny używać określonej wersji języka PHP	Okresowo nowsze wersje są wydawane dla oprogramowania PHP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka PHP dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji PHP spełniającej wymagania.	AuditIfNotExists, Disabled	3.2.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że "Wersja języka Python" jest najnowszą stabilną wersją, jeśli jest używana do uruchamiania aplikacji internetowej

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.7 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Miejsca aplikacji usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python	Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania.	AuditIfNotExists, Disabled	1.0.0
Aplikacje usługi App Service korzystające z języka Python powinny używać określonej wersji języka Python	Okresowo nowsze wersje są wydawane dla oprogramowania w języku Python ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Python dla aplikacji usługi App Service jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Python spełniającej wymagania.	AuditIfNotExists, Disabled	4.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.8 Ownership: Shared)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Miejsca aplikacji funkcji korzystające z języka Java powinny używać określonej wersji języka Java	Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania.	AuditIfNotExists, Disabled	1.0.0
Aplikacje funkcji korzystające z języka Java powinny używać określonej wersji języka Java	Okresowo nowsze wersje są wydawane dla oprogramowania Java ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystanie z najnowszej wersji języka Java dla aplikacji funkcji jest zalecane w celu skorzystania z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. Te zasady dotyczą tylko aplikacji systemu Linux. Te zasady wymagają określenia wersji języka Java spełniającej wymagania.	AuditIfNotExists, Disabled	3.1.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)

Nazwisko (Azure Portal)	opis	Efekty	Wersja (GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP	Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji.	AuditIfNotExists, Disabled	4.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP	Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji.	AuditIfNotExists, Disabled	4.0.0
Korygowanie wad systemu informacyjnego	CMA_0427 — korygowanie błędów systemu informacyjnego	Ręczne, wyłączone	1.1.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy:

• Omówienie zgodności z przepisami .
• Zobacz strukturę definicji inicjatywy.
• Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
• Przejrzyj wyjaśnienie działania zasad.
• Dowiedz się, jak korygować niezgodne zasoby.