Definições internas do Azure Policy para o Azure Resource Manager
Esta página é um índice de definições de políticas internas do Azure Policy para o Azure Resource Manager. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Azure Resource Manager
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
| Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
| O log de atividades deve ser retido por pelo menos um ano | Essa política auditará o log de atividades se a retenção não for definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desabilitado | 1.0.0 |
| Adicionar uma marca aos grupos de recursos | Adiciona a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. | modify | 1.0.0 |
| Adicionar uma marca às assinaturas | Adiciona a marca e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a marca existir com um valor diferente, ela não será alterada. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Adicionar ou substituir uma marca nos grupos de recursos | Adiciona ou substitui a marca e o valor especificados quando qualquer grupo de recursos é criado ou atualizado. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. | modify | 1.0.0 |
| Adicionar ou substituir uma marca em assinaturas | Adiciona ou substitui a marca e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos disparando uma tarefa de correção. Confira https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de política. | modify | 1.0.0 |
| Localizações permitidas para grupos de recursos | Esta política permite que você restrinja os locais em que sua organização pode criar grupos de recursos. Use para impor seus requisitos de conformidade geográfica. | deny | 1.0.0 |
| Um alerta do log de atividades deve existir para Operações administrativas específicas | Essa política audita Operações administrativas específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Um alerta do log de atividades deve existir para Operações de política específicas | Essa política audita Operações de política específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 3.0.0 |
| Um alerta do log de atividades deve existir para Operações de segurança específicas | Essa política audita Operações de segurança específicas sem alertas do log de atividades configurados. | AuditIfNotExists, desabilitado | 1.0.0 |
| Acrescentar uma marca e seu valor a grupos de recursos | Acrescenta a marca e o valor especificados quando qualquer grupo de recursos que está faltando nessa marca é criado ou atualizado. Não modifica as marcas dos grupos de recursos criados antes da aplicação dessa política até que esses grupos de recursos sejam alterados. Novas políticas de efeito 'modify' estão disponíveis e dão suporte à correção de marcas nos recursos existentes (confira https://aka.ms/modifydoc). | acrescentar | 1.0.0 |
| Auditar máquinas virtuais sem a recuperação de desastre configurada | Audite máquinas virtuais sem a recuperação de desastre configurada. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| O Azure Defender para o Serviço de Aplicativo deve estar habilitado | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores do Banco de Dados SQL do Azure deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O Azure Defender para Key Vault deve estar habilitado | O Azure Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do Key Vault. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado | O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para Resource Manager deve ser habilitado | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Azure Defender para servidores SQL em computadores deve estar habilitado | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desabilitado | 1.0.2 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias "gravar", "excluir" e "ação" | Essa política garante que um perfil de log colete logs para as categorias "gravar", "excluir" e "ação" | AuditIfNotExists, desabilitado | 1.0.0 |
| O Azure Monitor deve coletar os logs de atividades de todas as regiões | Essa política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo global. | AuditIfNotExists, desabilitado | 2.0.0 |
| A solução "Segurança e Auditoria" do Azure Monitor precisa ser implantada | Essa política garante que a Segurança e Auditoria seja implantada. | AuditIfNotExists, desabilitado | 1.0.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Essa política verifica se um perfil de log está ativado para exportar logs de atividades. Ela audita se não há um perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
| Configurar logs de atividades do Azure para transmissão para o workspace especificado do Log Analytics | Implanta as configurações de diagnóstico da atividade do Azure para transmitir logs de auditoria de assinaturas para um workspace do Log Analytics a fim de monitorar eventos no nível da assinatura | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Azure Defender para habilitar o Serviço de Aplicativo | O Azure Defender para o Serviço de Aplicativo utiliza a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns aos aplicativos Web. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar o Azure Defender para habilitar o banco de dados SQL do Azure | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar o Azure Defender para que bancos de dados relacionais de código aberto sejam habilitados | O Azure Defender para bancos de dados relacionais de código aberto detecta atividades anômalas, indicando tentativas incomuns e possivelmente prejudiciais de acesso ou exploração de bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o Azure Defender para habilitar o Resource Manager | O Azure Defender para o Resource Manager monitora de modo automático todas as operações de gerenciamento de recursos executadas em sua organização. O Azure Defender detecta ameaças e emite alertas sobre atividades suspeitas. Saiba mais sobre as funcionalidade do Azure Defender para o Resource Manager em https://aka.ms/defender-for-resource-manager. Habilitar este plano do Azure Defender resultará em determinados encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar o Azure Defender para habilitar os servidores | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho do servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar o Azure Defender para habilitar servidores SQL em computadores | O Azure Defender para SQL oferece funcionalidade para expor e reduzir possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que podem indicar ameaças aos Bancos de Dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar o Microsoft Defender básico para o Armazenamento que esteja habilitado (somente Monitoramento de Atividades) | O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Essa política habilitará os recursos básicos do Defender para Armazenamento (Monitoramento de Atividades). Para habilitar a proteção completa, que também inclui a Verificação de Software Mal-intencionado no upload e a Detecção de Ameaças a Dados Confidenciais, use a política de habilitação completa: aka.ms/DefenderForStoragePolicy. Para saber mais sobre as funcionalidades e benefícios do Defender para Armazenamento, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastre são vulneráveis a interrupções. Se a máquina virtual ainda não tivesse a recuperação de desastre configurada, isso iniciaria a mesma coisa habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma marca especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastre, acesse https://aka.ms/asr-doc. | DeployIfNotExists, desabilitado | 2.1.0 |
| Configurar o workspace do Log Analytics e a conta de automação para centralização de logs e monitoramento | Implante o grupo de recursos que contém o workspace do Log Analytics e a conta de automação vinculada para centralização de logs e monitoramento. A conta de automação é um pré-requisito para soluções como Atualizações e Controle de Alterações. | DeployIfNotExists, AuditIfNotExists, Desabilitado | 2.0.0 |
| Configurar o plano do Microsoft Defender CSPM | O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o GPSN do Microsoft Defender como habilitado | O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. | DeployIfNotExists, desabilitado | 1.0.2 |
| Configurar o Microsoft Defender para o Azure Cosmos DB a ser habilitado | O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o plano do Microsoft Defender para contêineres | Novos recursos estão sendo adicionados continuamente ao plano do Defender para contêineres, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar para que o Microsoft Defender para Contêineres seja habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | DeployIfNotExists, desabilitado | 1.0.1 |
| Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP_EXCLUDE_LINUX...) | Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático do MDE para servidores Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP_UNIFIED_SOLUTION) | Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do Agente Unificado do MDE para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Definir as configurações de integração do Microsoft Defender para Ponto de Extremidade com o Microsoft Defender para Nuvem (WDATP) | Define as configurações de integração do Microsoft Defender para Ponto de Extremidade, no Microsoft Defender para Nuvem (também conhecido como WDATP), para computadores de nível inferior do Windows integrados ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Área de Trabalho Virtual do Windows e versões superiores. Deve ser ativado para que as outras configurações (WDATP_UNIFIED etc.) funcionem. Confira: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpointpara obter mais informações. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar o plano do Microsoft Defender para Key Vault | O Microsoft Defender para Key Vault oferece uma camada adicional de proteção e inteligência de segurança ao detectar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar as contas do cofre de chaves. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar o plano do Microsoft Defender para servidores | Novos recursos estão sendo adicionados continuamente ao Defender para servidores, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configure o Microsoft Defender para Armazenamento (Clássico) para que esteja habilitado | O Microsoft Defender para Armazenamento (Clássico) fornece detecções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | DeployIfNotExists, desabilitado | 1.0.2 |
| Configure o Microsoft Defender for Storage para que esteja habilitado | O Microsoft Defender para Armazenamento é uma camada nativa do Azure de inteligência de segurança que detecta possíveis ameaças às suas contas de armazenamento. Essa política habilitará todos os recursos do Defender para Armazenamento: Monitoramento de Atividades, Verificação de Software Mal-intencionado e Detecção de Ameaças a Dados Confidenciais. Para saber mais sobre as funcionalidades e benefícios do Defender para Armazenamento, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desabilitado | 1.4.0 |
| Configurar a proteção contra ameaças do Microsoft Defender para cargas de trabalho de IA | Novos recursos estão sendo adicionados continuamente à proteção contra ameaças para cargas de trabalho de IA, o que pode exigir a habilitação explícita do usuário. Use essa política para garantir que todos os novos recursos sejam habilitados. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar assinaturas para configurar a versão prévia dos recursos | Essa política avalia a versão prévia dos recursos da assinatura existente. As assinaturas podem ser corrigidas para se registrarem em uma versão prévia de um novo recurso. As novas assinaturas não serão registradas automaticamente. | AuditIfNotExists, DeployIfNotExists, desabilitado | 1.0.1 |
| Implantar – Configurar regras de supressão para alertas da Central de Segurança do Azure | Suprime os alertas da Central de Segurança do Azure para reduzir o excesso de alertas implantando regras de supressão no grupo de gerenciamento ou na assinatura. | deployIfNotExists | 1.0.0 |
| Implante a exportação para o Hub de Eventos como um serviço confiável para os dados do Microsoft Defender para Nuvem | Habilite a exportação para o Hub de Eventos como um serviço confiável de dados do Microsoft Defender para Nuvem. Essa política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desabilitado | 1.0.0 |
| Implantar a exportação para o Hub de Eventos para dados do Microsoft Defender para Nuvem | Habilitar a exportação para o Hub de Eventos de dados do Microsoft Defender para Nuvem. Esta política implanta uma configuração de exportação para o Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
| Implantar exportação para o workspace do Log Analytics para dados do Microsoft Defender para Nuvem | Habilitar a exportação para o workspace do Log Analytics de dados do Microsoft Defender para Nuvem. Esta política implanta uma configuração de exportação para o workspace do Log Analytics com suas condições e workspace de destino no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
| Implantar a Automação de Fluxo de Trabalho para alertas do Microsoft Defender para Nuvem | Habilitar a automação de alertas do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implantar a Automação de Fluxo de Trabalho para recomendações do Microsoft Defender para Nuvem | Habilitar a automação de recomendações do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implantar a Automação de Fluxo de Trabalho para conformidade regulatória do Microsoft Defender para Nuvem | Habilitar a automação de conformidade regulatória do Microsoft Defender para Nuvem. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| A notificação por email para alertas de severidade alta deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists, desabilitado | 1.2.0 |
| A notificação por email para o proprietário da assinatura para alertas de severidade alta deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists, desabilitado | 2.1.0 |
| Habilitar o Microsoft Defender para Nuvem em sua assinatura | Identifica assinaturas existentes que não são monitoradas pelo Microsoft Defender para Nuvem e as protege com os recursos gratuitos do Defender para Nuvem. As assinaturas já monitoradas serão consideradas em conformidade. Para registrar assinaturas criadas recentemente, abra a guia de conformidade, selecione a atribuição relevante que não esteja em conformidade e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
| Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace personalizado. | Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace personalizado. | DeployIfNotExists, desabilitado | 1.0.0 |
| Habilitar o provisionamento automático da Central de Segurança do agente do Log Analytics em suas assinaturas com o workspace padrão. | Permitir que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um workspace padrão da ASC. | DeployIfNotExists, desabilitado | 1.0.0 |
| Habilitar a proteção contra ameaças para cargas de trabalho de IA | A proteção contra ameaças da Microsoft para cargas de trabalho de IA fornece alertas de segurança contextualizados e baseados em evidência destinados a proteger aplicativos internos de IA generativa | DeployIfNotExists, desabilitado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exclua recursos de custos de uso. Os custos de uso incluem coisas como armazenamento medido e recursos do Azure que são cobrados com base no uso. | Audit, Deny, desabilitado | 1.0.0 |
| As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | Contas externas com privilégios de leitura devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
| O GPSN do Microsoft Defender deve estar habilitado | O GPSN (gerenciamento da postura de segurança na nuvem) do Defender oferece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir riscos. O GPSN do Defender está disponível além das funcionalidades básicas gratuitas de postura de segurança ativadas por padrão no Defender para Nuvem. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para APIs deve estar habilitado | O Microsoft Defender para APIs traz uma nova cobertura de descoberta, proteção, detecção e resposta para monitorar ataques comuns e configurações incorretas de segurança baseados em API. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Microsoft Defender para Azure Cosmos DB deve estar habilitado | O Microsoft Defender para Azure Cosmos DB é uma camada de segurança nativa do Azure que detecta qualquer tentativa de explorar bancos de dados nas suas contas do Azure Cosmos DB. O Defender para Azure Cosmos DB detecta possíveis injeções de SQL, atores mal-intencionados conhecidos com base na Inteligência contra Ameaças da Microsoft, padrões de acesso suspeitos e exploração potencial do banco de dados por meio de identidades comprometidas ou de funcionários mal-intencionados. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Contêineres deve estar habilitado | O Microsoft Defender para Contêineres fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes do Azure, híbridos e de várias nuvens. | AuditIfNotExists, desabilitado | 1.0.0 |
| O Microsoft Defender para Armazenamento deve estar habilitado | O Microsoft Defender para Armazenamento detecta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo plano do Defender para Armazenamento inclui Verificação de Malware e Detecção de Ameaças a Dados Confidenciais. Este plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle da cobertura e dos custos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Exigir uma marca e seu valor em grupos de recursos | Impõe uma marca necessária e seu valor em grupos de recursos. | deny | 1.0.0 |
| Exigir uma marca em grupos de recursos | Aplica a existência de uma marca em grupos de recursos. | deny | 1.0.0 |
| Configurar assinaturas para fazer a transição para uma solução alternativa de avaliação de vulnerabilidade | O Microsoft Defender para nuvem oferece varredura de vulnerabilidades para suas máquinas sem custo adicional. A ativação dessa política fará com que o Defender para Nuvem propague automaticamente as descobertas da solução integrada de gerenciamento de vulnerabilidades do Microsoft Defender para todos os computadores compatíveis. | DeployIfNotExists, desabilitado | 1.0.0 – versão prévia |
| As assinaturas devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists, desabilitado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.