Definições internas da Política do Azure para o Azure Resource Manager
Esta página é um índice das definições de política internas da Política do Azure para o Azure Resource Manager. Para obter informações internas adicionais da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Azure Resource Manager
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| O registo de atividades deve ser conservado durante, pelo menos, um ano | Esta política audita o registo de atividades se a retenção não estiver definida para 365 dias ou para sempre (dias de retenção definidos como 0). | AuditIfNotExists, desativado | 1.0.0 |
| Adicionar uma etiqueta a grupos de recursos | Adiciona a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Se a etiqueta existir com um valor diferente, não será alterada. | modificar | 1.0.0 |
| Adicionar uma etiqueta a subscrições | Adiciona a tag e o valor especificados às assinaturas por meio de uma tarefa de correção. Se a etiqueta existir com um valor diferente, não será alterada. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em grupos de recursos | Adiciona ou substitui a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. | modificar | 1.0.0 |
| Adicionar ou substituir uma etiqueta em subscrições | Adiciona ou substitui a tag e o valor especificados em assinaturas por meio de uma tarefa de correção. Os grupos de recursos existentes podem ser corrigidos ao acionar uma tarefa de remediação. Consulte https://aka.ms/azurepolicyremediation para obter mais informações sobre a correção de políticas. | modificar | 1.0.0 |
| Locais permitidos para grupos de recursos | Esta política permite-lhe restringir as localizações em que a sua organização pode criar grupos de recursos. Utilize para impor os requisitos de conformidade geográfica. | negar | 1.0.0 |
| Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Deve existir um alerta de registo de atividades para operações de Política específicas | Esta política audita operações de política específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 3.0.0 |
| Deve existir um alerta de registo de atividades para operações de segurança específicas | Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
| Anexar uma etiqueta e o seu valor a grupos de recursos | Anexa a etiqueta e o valor especificados quando cria ou atualiza um grupo de recursos sem esta etiqueta. Não modifica as etiquetas de grupos de recursos criados antes de esta política ser aplicada até esses grupos de recursos serem alterados. Estão disponíveis novas políticas de efeito de 'modificação' que suportam a correção de etiquetas em recursos existentes (consulte https://aka.ms/modifydoc). | append | 1.0.0 |
| Auditar máquinas virtuais sem recuperação de desastres configurada | Audite máquinas virtuais que não tenham a recuperação de desastres configurada. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
| Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
| O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
| Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
| O perfil de log do Azure Monitor deve coletar logs para as categorias 'gravar', 'excluir' e 'ação' | Essa política garante que um perfil de log colete logs para as categorias 'gravar', 'excluir' e 'agir' | AuditIfNotExists, desativado | 1.0.0 |
| O Azure Monitor deve coletar logs de atividades de todas as regiões | Esta política audita o perfil de log do Azure Monitor que não exporta atividades de todas as regiões com suporte do Azure, incluindo globais. | AuditIfNotExists, desativado | 2.0.0 |
| A solução 'Segurança e Auditoria' do Azure Monitor deve ser implantada | Essa política garante que a Segurança e a Auditoria sejam implantadas. | AuditIfNotExists, desativado | 1.0.0 |
| As assinaturas do Azure devem ter um perfil de log para o Log de Atividades | Esta política garante se um perfil de log está habilitado para exportar logs de atividades. Ele audita se não há nenhum perfil de log criado para exportar os logs para uma conta de armazenamento ou para um hub de eventos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Configurar os logs de atividade do Azure para transmitir para o espaço de trabalho especificado do Log Analytics | Implanta as configurações de diagnóstico da Atividade do Azure para transmitir logs de auditoria de assinaturas para um espaço de trabalho do Log Analytics para monitorar eventos no nível de assinatura | DeployIfNotExists, desativado | 1.0.0 |
| Configure o Azure Defender para Serviço de Aplicações como ativado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para base de dados SQL do Azure como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para bases de dados relacionais open-source como ativado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Azure Defender para o Resource Manager como ativado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | DeployIfNotExists, desativado | 1.1.0 |
| Configure o Azure Defender para Servidores como ativados | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desativado | 1.0.1 |
| Configure o Azure Defender para servidores SQL em máquinas como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
| Configurar o Microsoft Defender básico para armazenamento a ser habilitado (somente Monitoramento de Atividades) | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará os recursos básicos do Defender for Storage (Monitoramento de atividades). Para habilitar a proteção total, que também inclui a verificação de malware ao carregar e a deteção de ameaças de dados confidenciais, use a política de habilitação completa: aka.ms/DefenderForStoragePolicy. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar a recuperação de desastres em máquinas virtuais habilitando a replicação por meio do Azure Site Recovery | As máquinas virtuais sem configurações de recuperação de desastres são vulneráveis a interrupções e outras interrupções. Se a máquina virtual ainda não tiver a recuperação de desastres configurada, isso iniciará o mesmo habilitando a replicação usando configurações predefinidas para facilitar a continuidade dos negócios. Opcionalmente, você pode incluir/excluir máquinas virtuais que contenham uma tag especificada para controlar o escopo da atribuição. Para saber mais sobre recuperação de desastres, visite https://aka.ms/asr-doc. | DeployIfNotExists, desativado | 2.1.0 |
| Configurar o espaço de trabalho e a conta de automação do Log Analytics para centralizar os logs e o monitoramento | Implante o grupo de recursos que contém o espaço de trabalho do Log Analytics e a conta de automação vinculada para centralizar os logs e o monitoramento. A conta de automação é um pré-requisito para soluções como Atualizações e Controle de Alterações. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.0 |
| Configurar o plano CSPM do Microsoft Defender | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.0 |
| Configure o GPSC do Microsoft Defender como ativado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.2 |
| Configure o Microsoft Defender para o Azure Cosmos DB como ativado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o plano do Microsoft Defender for Containers | Novos recursos estão sendo continuamente adicionados ao plano Defender for Containers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Microsoft Defender para Contentores como ativados | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | DeployIfNotExists, desativado | 1.0.1 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático de servidores MDE para Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura as configurações de integração do Microsoft Defender for Endpoint, no Microsoft Defender for Cloud (também conhecido como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do MDE Unified Agent para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP), para máquinas de nível inferior do Windows integradas ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Windows Virtual Desktop e superior. Deve ser ativado para que as outras configurações (WDATP_UNIFIED, etc.) funcionem. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o plano Microsoft Defender for Key Vault | O Microsoft Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança, detetando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar o plano do Microsoft Defender para Servidores | Novos recursos estão sendo continuamente adicionados ao Defender for Servers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar o Microsoft Defender para armazenamento (Clássico) para ser habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | DeployIfNotExists, desativado | 1.0.2 |
| Configurar o Microsoft Defender para que o armazenamento seja habilitado | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará todos os recursos do Defender for Storage; Monitoramento de atividades, verificação de malware e deteção de ameaças de dados confidenciais. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar a proteção contra ameaças do Microsoft Defender para cargas de trabalho de IA | Novos recursos estão sendo continuamente adicionados à proteção contra ameaças para cargas de trabalho de IA, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar subscrições para configurar funcionalidades de pré-visualização | Esta política avalia os recursos de visualização da assinatura existente. As subscrições podem ser corrigidas para se registarem numa nova funcionalidade de pré-visualização. As novas subscrições não serão registadas automaticamente. | AuditIfNotExists, DeployIfNotExists, desativado | 1.0.1 |
| Implantar - Configurar regras de supressão para alertas da Central de Segurança do Azure | Suprima os alertas da Central de Segurança do Azure para reduzir a fadiga dos alertas implantando regras de supressão em seu grupo de gerenciamento ou assinatura. | deployIfNotExists | 1.0.0 |
| Implantar a exportação para o Hub de Eventos como um serviço confiável para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos como um serviço confiável de dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desativado | 1.0.0 |
| Implantar a exportação para o Hub de Eventos para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
| Implantar exportação para o espaço de trabalho do Log Analytics para dados do Microsoft Defender for Cloud | Habilite a exportação para o espaço de trabalho do Log Analytics dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do espaço de trabalho do Log Analytics com suas condições e espaço de trabalho de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
| Implementar a Automatização de Fluxo de Trabalho para alertas do Microsoft Defender para Cloud | Habilite a automação de alertas do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implementar a Automatização de Fluxo de Trabalho para recomendações do Microsoft Defender para Cloud | Habilite a automação das recomendações do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| Implantar a automação do fluxo de trabalho para conformidade regulatória do Microsoft Defender for Cloud | Habilite a automação da conformidade regulatória do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
| A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
| A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
| Habilite o Microsoft Defender for Cloud em sua assinatura | Identifica assinaturas existentes que não são monitoradas pelo Microsoft Defender for Cloud e as protege com os recursos gratuitos do Defender for Cloud. As subscrições já monitorizadas serão consideradas conformes. Para registrar assinaturas recém-criadas, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com espaço de trabalho personalizado. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um espaço de trabalho personalizado. | DeployIfNotExists, desativado | 1.0.0 |
| Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com o espaço de trabalho padrão. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando o espaço de trabalho padrão ASC. | DeployIfNotExists, desativado | 1.0.0 |
| Habilite a proteção contra ameaças para cargas de trabalho de IA | A proteção contra ameaças da Microsoft para cargas de trabalho de IA fornece alertas de segurança contextualizados e baseados em evidências destinados a proteger aplicativos internos desenvolvidos com IA generativa | DeployIfNotExists, desativado | 1.0.0 |
| Excluir recursos de custos de uso | Esta política permite que você exlcude Recursos de Custos de Uso. Os custos de uso incluem coisas como armazenamento limitado e recursos do Azure que são cobrados com base no uso. | Auditoria, Negar, Desativado | 1.0.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender CSPM deve ser habilitado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender para APIs deve estar habilitado | O Microsoft Defender para APIs traz novas descobertas, proteção, deteção, cobertura de resposta de & para monitorar ataques comuns baseados em API ou configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
| O Microsoft Defender para Azure Cosmos DB deve ser habilitado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | AuditIfNotExists, desativado | 1.0.0 |
| Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
| O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
| Exigir uma etiqueta e o respetivo valor em grupos de recursos | Impõe uma etiqueta necessária e o respetivo valor aos grupos de recursos. | negar | 1.0.0 |
| Exigir uma etiqueta em grupos de recursos | Impõe a existência de uma etiqueta em grupos de recursos. | negar | 1.0.0 |
| Configurar subscrições para fazer a transição para uma solução alternativa de avaliação de vulnerabilidades | O Microsoft Defender para nuvem oferece verificação de vulnerabilidades para suas máquinas sem custo extra. Habilitar essa política fará com que o Defender for Cloud propague automaticamente as descobertas da solução de gerenciamento de vulnerabilidades interna do Microsoft Defender para todas as máquinas suportadas. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
| As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Próximos passos
- Veja as incorporações no repositório do GitHub do Azure Policy.
- Reveja a estrutura de definição do Azure Policy.
- Veja Compreender os efeitos do Policy.