Definições internas da Política do Azure para o Microsoft Defender for Cloud
Esta página é um índice das definições de política internas da Política do Azure relacionadas ao Microsoft Defender for Cloud. Estão disponíveis os seguintes agrupamentos de definições de políticas:
- O grupo de iniciativas lista as definições da iniciativa de Política do Azure na categoria "Defender for Cloud".
- O grupo de iniciativas padrão lista todas as definições de Política do Azure que fazem parte da iniciativa padrão do Defender for Cloud, o benchmark de segurança na nuvem da Microsoft. Este benchmark de autoria da Microsoft e amplamente respeitado baseia-se em controles do Center for Internet Security (CIS) e do National Institute of Standards and Technology (NIST) com foco na segurança centrada na nuvem.
- O grupo de categorias lista todas as definições de Política do Azure na categoria "Defender for Cloud".
Para obter mais informações sobre diretivas de segurança, consulte Trabalhando com diretivas de segurança. Para outros internos da Política do Azure para outros serviços, consulte Definições internas da Política do Azure.
O nome de cada definição de política incorporada está ligado à definição de política no portal do Azure. Use o link na coluna Versão para exibir a fonte no repositório GitHub da Política do Azure.
Iniciativas do Microsoft Defender for Cloud
Para saber mais sobre as iniciativas integradas monitoradas pelo Defender for Cloud, consulte a tabela a seguir:
Nome | Descrição | Políticas | Versão |
---|---|---|---|
[Pré-visualização]: Implementar o Microsoft Defender for Endpoint agent | Implante o agente do Microsoft Defender for Endpoint em imagens aplicáveis. | 4 | 1.0.0-pré-visualização |
Configurar a Proteção Avançada contra Ameaças para ser habilitada em bancos de dados relacionais de código aberto | Habilite a Proteção Avançada contra Ameaças em seus bancos de dados relacionais de código aberto de camada não básica para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Consulte https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Configurar o Azure Defender para ser habilitado em SQL Servers e SQL Managed Instances | Habilite o Azure Defender em seus SQL Servers e Instâncias Gerenciadas SQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | 3 | 3.0.0 |
Configurar planos do Microsoft Defender para Cloud | O Microsoft Defender for Cloud fornece proteções abrangentes e nativas da nuvem, desde o desenvolvimento até o tempo de execução em ambientes multinuvem. Use a iniciativa de política para configurar os planos e extensões do Defender for Cloud para serem habilitados no(s) escopo(s) selecionado(s). | 11 | 1.0.0 |
Configurar o Microsoft Defender para que os bancos de dados sejam habilitados | Configure o Microsoft Defender for Databases para proteger seus bancos de dados SQL do Azure, instâncias gerenciadas, bancos de dados relacionais de código aberto e Cosmos DB. | 4 | 1.0.0 |
Definir várias configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud | Configure as várias configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | 3 | 1.0.0 |
Configurar VMs SQL e SQL Servers habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho LA | O Microsoft Defender for SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho Regra de Coleta de Dados e Análise de Log na mesma região da máquina. | 9 | 1.3.0 |
Configurar VMs SQL e SQL Servers habilitados para Arc para instalar o Microsoft Defender for SQL e AMA com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos dos agentes e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | 8 | 1.2.0 |
Referência da segurança da cloud da Microsoft | A iniciativa de benchmark de segurança na nuvem da Microsoft representa as políticas e os controles que implementam as recomendações de segurança definidas no benchmark de segurança na nuvem da Microsoft, consulte https://aka.ms/azsecbm. Isso também serve como a iniciativa de política padrão do Microsoft Defender for Cloud. Você pode atribuir diretamente essa iniciativa ou gerenciar suas políticas e resultados de conformidade no Microsoft Defender for Cloud. | 228 | 57.45.0 |
Iniciativa padrão do Defender for Cloud (benchmark de segurança na nuvem da Microsoft)
Para saber mais sobre as políticas internas monitoradas pelo Defender for Cloud, consulte a tabela a seguir:
Nome da política (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: Todo o tráfego da Internet deve ser encaminhado através da Firewall do Azure implementada | A Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra ameaças potenciais restringindo o acesso a elas com o Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: Os clusters Kubernetes ativados para Azure Arc devem ter a extensão Microsoft Defender for Cloud instalada | A extensão do Microsoft Defender for Cloud para Azure Arc fornece proteção contra ameaças para seus clusters Kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o back-end do Azure Defender for Kubernetes na nuvem para análise posterior. Saiba mais em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Pré-visualização]: O servidor flexível do Azure PostgreSQL deve ter a Autenticação Apenas Entra da Microsoft ativada | Desabilitar métodos de autenticação local e permitir apenas a Autenticação Microsoft Entra melhora a segurança, garantindo que o servidor flexível PostgreSQL do Azure possa ser acessado exclusivamente por identidades Microsoft Entra. | Auditoria, Desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Os servidores HCI do Azure Stack devem ter políticas de controlo de aplicações aplicadas de forma consistente | No mínimo, aplique a política base do Microsoft WDAC no modo imposto em todos os servidores HCI do Azure Stack. As diretivas WDAC (Controle de Aplicativo do Windows Defender) aplicadas devem ser consistentes entre servidores no mesmo cluster. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
[Pré-visualização]: Os servidores HCI do Azure Stack devem cumprir os requisitos Secured-core | Certifique-se de que todos os servidores HCI do Azure Stack atendam aos requisitos de núcleo seguro. Para habilitar os requisitos do servidor Secured-core: 1. Na página Clusters HCI do Azure Stack, vá para o Windows Admin Center e selecione Conectar. 2. Vá para a extensão Segurança e selecione Secured-core. 3. Selecione qualquer configuração que não esteja habilitada e clique em Ativar. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
[Pré-visualização]: Os sistemas HCI do Azure Stack devem ter volumes encriptados | Use o BitLocker para criptografar o sistema operacional e os volumes de dados nos sistemas HCI do Azure Stack. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
[Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-Pré-visualização |
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 4.0.0-Pré-visualização |
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 3.1.0-Pré-visualização |
[Preview]: A rede de host e VM deve ser protegida em sistemas HCI do Azure Stack | Proteja dados na rede de hosts HCI do Azure Stack e em conexões de rede de máquina virtual. | Audit, Desativado, AuditIfNotExists | 1.0.0-pré-visualização |
[Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: A extensão do Log Analytics deve ser instalada nas suas máquinas Linux Azure Arc | Esta política audita máquinas Linux Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: A extensão do Log Analytics deve ser instalada em suas máquinas Windows Azure Arc | Esta política audita máquinas Windows Azure Arc se a extensão do Log Analytics não estiver instalada. | AuditIfNotExists, desativado | 1.0.1-Pré-visualização |
[Preview]: O agente de coleta de dados de tráfego de rede deve ser instalado em máquinas virtuais Linux | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O agente de recolha de dados de tráfego de rede deve ser instalado em máquinas virtuais Windows | A Central de Segurança usa o agente de dependência da Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais do Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists, desativado | 1.0.2-Pré-visualização |
[Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | Auditoria, Desativado | 4.0.0-Pré-visualização |
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
[Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Auditoria, Desativado | 2.0.0-pré-visualização |
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Um administrador do Microsoft Entra deve ser provisionado para servidores MySQL | Provisionamento de auditoria de um administrador do Microsoft Entra para o seu servidor MySQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.1.1 |
Um administrador do Microsoft Entra deve ser provisionado para servidores PostgreSQL | Provisionamento de auditoria de um administrador do Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação do Microsoft Entra. A autenticação do Microsoft Entra permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.1 |
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
As APIs de gerenciamento de API devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos não seguros, como HTTP ou WS. | Auditar, Desabilitar, Negar | 2.0.2 |
As chamadas de gerenciamento de API para back-ends de API devem ser autenticadas | As chamadas do Gerenciamento de API para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica a back-ends do Service Fabric. | Auditar, Desabilitar, Negar | 1.0.1 |
As chamadas de gerenciamento de API para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, o Gerenciamento de API deve validar o certificado do servidor back-end para todas as chamadas de API. Habilite a impressão digital do certificado SSL e a validação de nome. | Auditar, Desabilitar, Negar | 1.0.2 |
O ponto de extremidade de gerenciamento direto do Gerenciamento de API não deve ser habilitado | A API REST de gerenciamento direto no Gerenciamento de API do Azure ignora os mecanismos de controle de acesso, autorização e limitação baseados em função do Azure Resource Manager, aumentando assim a vulnerabilidade do seu serviço. | Auditar, Desabilitar, Negar | 1.0.2 |
A versão mínima da API de Gerenciamento de API deve ser definida como 2019-12-01 ou superior | Para evitar que segredos de serviço sejam compartilhados com usuários somente leitura, a versão mínima da API deve ser definida como 2019-12-01 ou superior. | Auditoria, Negar, Desativado | 1.0.1 |
Os valores nomeados do segredo do Gerenciamento de API devem ser armazenados no Cofre de Chaves do Azure | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço de Gerenciamento de API. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou fazendo referência a segredos no Cofre de Chaves do Azure. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados de segredo do Cofre de Chaves do Azure. O Azure Key Vault dá suporte a gerenciamento de acesso granular e políticas de rotação de segredos. | Auditar, Desabilitar, Negar | 1.0.2 |
Os serviços de gerenciamento de API devem usar uma rede virtual | A implantação da Rede Virtual do Azure fornece segurança aprimorada, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que não seja da Internet à qual você controla o acesso. Essas redes podem ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite o acesso aos seus serviços de back-end dentro da rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis a partir da Internet ou apenas dentro da rede virtual. | Auditoria, Negar, Desativado | 1.0.2 |
O Gerenciamento de API deve desabilitar o acesso de rede pública aos pontos de extremidade de configuração do serviço | Para melhorar a segurança dos serviços de Gerenciamento de API, restrinja a conectividade a pontos de extremidade de configuração de serviço, como API de gerenciamento de acesso direto, ponto de extremidade de gerenciamento de configuração Git ou ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists, desativado | 1.0.1 |
As assinaturas de Gerenciamento de API não devem ter escopo para todas as APIs | As assinaturas do Gerenciamento de API devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditar, Desabilitar, Negar | 1.1.0 |
A configuração do aplicativo deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para as instâncias de configuração do seu aplicativo em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, desativado | 1.0.2 |
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
A autenticação em máquinas Linux deve exigir chaves SSH | Embora o próprio SSH forneça uma conexão criptografada, o uso de senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticação em uma máquina virtual Linux do Azure sobre SSH é com um par de chaves público-privado, também conhecido como chaves SSH. Saiba mais: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, desativado | 3.2.0 |
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem criptografar dados em repouso com uma chave gerenciada pelo cliente (CMK) | O uso de chaves gerenciadas pelo cliente para criptografar dados em repouso fornece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiverem habilitados, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro 'Effect' na Política de Segurança para o escopo aplicável. | Auditoria, Negar, Desativado | 2.2.0 |
Os recursos dos Serviços de IA do Azure devem ter o acesso à chave desabilitado (desabilitar a autenticação local) | Recomenda-se que o acesso à chave (autenticação local) seja desativado por segurança. O Azure OpenAI Studio, normalmente usado em desenvolvimento/teste, requer acesso de chave e não funcionará se o acesso de chave estiver desabilitado. Após a desativação, o Microsoft Entra ID torna-se o único método de acesso, que permite manter o princípio de privilégio mínimo e controle granular. Saiba mais em: https://aka.ms/AI/auth | Auditoria, Negar, Desativado | 1.1.0 |
Os recursos dos Serviços de IA do Azure devem restringir o acesso à rede | Ao restringir o acesso à rede, você pode garantir que apenas as redes permitidas possam acessar o serviço. Isso pode ser alcançado configurando regras de rede para que apenas aplicativos de redes permitidas possam acessar o serviço Azure AI. | Auditoria, Negar, Desativado | 3.2.0 |
Os recursos dos Serviços de IA do Azure devem usar o Azure Private Link | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link reduz os riscos de fuga de dados ao lidar com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Saiba mais sobre links privados em: https://aka.ms/AzurePrivateLink/Overview | Auditoria, Desativado | 1.0.0 |
A versão da plataforma de Gerenciamento de API do Azure deve ser stv2 | A versão da plataforma de computação stv1 do Azure API Management será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Auditoria, Negar, Desativado | 1.0.0 |
Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada | A extensão da Política do Azure para o Azure Arc fornece imposições e proteções em escala em seus clusters Kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em https://aka.ms/akspolicydoc. | AuditIfNotExists, desativado | 1.1.0 |
O Backup do Azure deve ser habilitado para Máquinas Virtuais | Garanta a proteção de suas Máquinas Virtuais do Azure habilitando o Backup do Azure. O Backup do Azure é uma solução de proteção de dados segura e econômica para o Azure. | AuditIfNotExists, desativado | 3.0.0 |
O Cache Redis do Azure deve usar o link privado | Os pontos de extremidade privados permitem conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para seu Cache do Azure para instâncias Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, desativado | 1.0.0 |
As contas do Azure Cosmos DB devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas do Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. As contas que têm pelo menos uma regra IP definida com o filtro de rede virtual ativado são consideradas compatíveis. As contas que desativam o acesso público também são consideradas compatíveis. | Auditoria, Negar, Desativado | 2.1.0 |
As contas do Azure Cosmos DB devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do seu Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/cosmosdb-cmk. | auditoria, auditoria, negar, negar, desativado, desativado | 1.1.0 |
O Azure Cosmos DB deve desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que sua conta do CosmosDB não seja exposta na Internet pública. A criação de endpoints privados pode limitar a exposição da sua conta do CosmosDB. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Auditoria, Negar, Desativado | 1.0.0 |
Os Clusters do Azure Databricks devem desativar o IP público | A desativação do IP público de clusters no Azure Databricks Workspaces melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Auditoria, Negar, Desativado | 1.0.1 |
Os Espaços de Trabalho do Azure Databricks devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Espaços de Trabalho do Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Auditoria, Negar, Desativado | 1.0.2 |
Os Espaços de Trabalho do Azure Databricks devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição de seus recursos criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Auditoria, Negar, Desativado | 1.0.1 |
Azure Databricks Workspaces deve usar link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Databricks, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/adbpe. | Auditoria, Desativado | 1.0.2 |
A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Audite servidores flexíveis MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender for SQL deve ser habilitado para servidores flexíveis PostgreSQL desprotegidos | Audite servidores flexíveis PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Os domínios da Grade de Eventos do Azure devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
Os tópicos da Grade de Eventos do Azure devem usar o link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o tópico da Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/privateendpoints. | Auditoria, Desativado | 1.0.2 |
O Azure Key Vault deve ter firewall ativado | Habilite o firewall do cofre de chaves para que o cofre de chaves não seja acessível por padrão a nenhum IPs público. Opcionalmente, você pode configurar intervalos de IP específicos para limitar o acesso a essas redes. Saiba mais em: https://docs.microsoft.com/azure/key-vault/general/network-security | Auditoria, Negar, Desativado | 3.2.1 |
Os Cofres de Chaves do Azure devem usar o link privado | O Azure Private Link permite conectar suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para o cofre de chaves, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/akvprivatelink. | [parâmetros(«audit_effect»)] | 1.2.1 |
Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado | O Microsoft Defender for Containers fornece recursos de segurança Kubernetes nativos da nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender no cluster do Serviço Kubernetes do Azure, um agente é implantado no cluster para coletar dados de eventos de segurança. Saiba mais sobre o Microsoft Defender for Containers em https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Auditoria, Desativado | 2.0.1 |
As instâncias de computação do Azure Machine Learning devem ser recriadas para obter as atualizações de software mais recentes | Garanta que as instâncias de computação do Azure Machine Learning sejam executadas no sistema operacional disponível mais recente. A segurança é melhorada e as vulnerabilidades reduzidas através da execução com os patches de segurança mais recentes. Para mais informações, visite https://aka.ms/azureml-ci-updates/. | [parâmetros(«efeitos»)] | 1.0.3 |
Os Cálculos do Azure Machine Learning devem estar em uma rede virtual | As Redes Virtuais do Azure fornecem segurança e isolamento aprimorados para seus Clusters e Instâncias de Computação do Azure Machine Learning, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com uma rede virtual, ela não é endereçável publicamente e só pode ser acessada de máquinas virtuais e aplicativos dentro da rede virtual. | Auditoria, Desativado | 1.0.1 |
Os Cálculos do Azure Machine Learning devem ter os métodos de autenticação local desativados | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Cálculos de Aprendizado de Máquina exijam identidades do Azure Ative Directory exclusivamente para autenticação. Saiba mais em: https://aka.ms/azure-ml-aad-policy. | Auditoria, Negar, Desativado | 2.1.0 |
Os espaços de trabalho do Azure Machine Learning devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia no restante dos dados do espaço de trabalho do Azure Machine Learning com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/azureml-workspaces-cmk. | Auditoria, Negar, Desativado | 1.1.0 |
Os Espaços de Trabalho do Azure Machine Learning devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que os espaços de trabalho de Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição de seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Auditoria, Negar, Desativado | 2.0.1 |
Os espaços de trabalho do Azure Machine Learning devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para espaços de trabalho do Azure Machine Learning, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Auditoria, Desativado | 1.0.0 |
O servidor flexível do Azure MySQL deve ter a Autenticação Apenas Entra da Microsoft habilitada | Desabilitar os métodos de autenticação local e permitir apenas a Autenticação do Microsoft Entra melhora a segurança, garantindo que o servidor flexível do Azure MySQL possa ser acessado exclusivamente pelas identidades do Microsoft Entra. | AuditIfNotExists, desativado | 1.0.1 |
O Complemento de Política do Azure para o serviço Kubernetes (AKS) deve ser instalado e habilitado em seus clusters | O Complemento de Política do Azure para o serviço Kubernetes (AKS) estende o Gatekeeper v3, um webhook de controlador de admissão para o Open Policy Agent (OPA), para aplicar imposições e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria, Desativado | 1.0.2 |
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desativado | 1.0.1 |
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
O Serviço Azure SignalR deve usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seu recurso do Serviço Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/asrs/privatelink. | Auditoria, Desativado | 1.0.0 |
Azure Spring Cloud deve usar injeção de rede | As instâncias do Azure Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole o Azure Spring Cloud da Internet. 2. Habilite o Azure Spring Cloud para interagir com sistemas em data centers locais ou com o serviço do Azure em outras redes virtuais. 3. Capacite os clientes para controlar as comunicações de rede de entrada e saída para o Azure Spring Cloud. | Auditar, Desabilitar, Negar | 1.2.0 |
O Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão TLS como 1.2 ou mais recente melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de clientes que usam TLS 1.2 ou mais recente. O uso de versões do TLS inferiores a 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditar, Desabilitar, Negar | 2.0.0 |
O Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra-habilitada | Exija que os servidores lógicos SQL do Azure usem a autenticação somente Microsoft Entra. Esta política não impede que os servidores sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
O Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra-somente habilitada durante a criação | Exija que os servidores lógicos SQL do Azure sejam criados com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.2.0 |
A Instância Gerenciada SQL do Azure deve ter a autenticação somente Microsoft Entra-habilitada | Exija que a Instância Gerenciada SQL do Azure use a autenticação somente Microsoft Entra. Esta política não impede que instâncias SQL Managed do Azure sejam criadas com a autenticação local habilitada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.0.0 |
As Instâncias Gerenciadas SQL do Azure devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública (ponto de extremidade público) nas Instâncias Gerenciadas SQL do Azure melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de Pontos de Extremidade Privados. Para saber mais sobre o acesso à rede pública, visite https://aka.ms/mi-public-endpoint. | Auditoria, Negar, Desativado | 1.0.0 |
As Instâncias Gerenciadas SQL do Azure devem ter a autenticação somente Microsoft Entra-habilitada durante a criação | Exija que a Instância Gerenciada SQL do Azure seja criada com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/adonlycreate. | Auditoria, Negar, Desativado | 1.2.0 |
O Firewall de Aplicativo Web do Azure deve ser habilitado para pontos de entrada do Azure Front Door | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 1.0.2 |
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
Os certificados devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo que um certificado pode ser válido em seu cofre de chaves. | auditoria, auditoria, negar, negar, desativado, desativado | 2.2.1 |
Os registros de contêiner devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia no restante do conteúdo de seus registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. Saiba mais em https://aka.ms/acr/CMK. | Auditoria, Negar, Desativado | 1.1.2 |
Os registos de contentores não devem permitir o acesso irrestrito à rede | Por padrão, os registros de contêiner do Azure aceitam conexões pela Internet de hosts em qualquer rede. Para proteger os seus registos de potenciais ameaças, permita o acesso apenas a partir de terminais privados específicos, endereços IP públicos ou intervalos de endereços. Se o seu registro não tiver regras de rede configuradas, ele aparecerá nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network e https://aka.ms/acr/vnet. | Auditoria, Negar, Desativado | 2.0.0 |
Os registos de contentores devem utilizar a ligação privada | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: https://aka.ms/acr/private-link. | Auditoria, Desativado | 1.0.1 |
As contas de banco de dados do Cosmos DB devem ter métodos de autenticação local desabilitados | A desativação de métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente identidades do Azure Ative Directory para autenticação. Saiba mais em: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Auditoria, Negar, Desativado | 1.1.0 |
As contas do CosmosDB devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Auditoria, Desativado | 1.0.0 |
Os logs de diagnóstico nos recursos dos serviços de IA do Azure devem ser habilitados | Habilite logs para recursos de serviços de IA do Azure. Isso permite que você recrie trilhas de atividade para fins de investigação, quando ocorre um incidente de segurança ou sua rede é comprometida | AuditIfNotExists, desativado | 1.0.0 |
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados MySQL | O Banco de Dados do Azure para MySQL dá suporte à conexão do seu Banco de Dados do Azure para servidor MySQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Os aplicativos de função devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em aplicativos Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.0.0 |
Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MariaDB | O Banco de Dados do Azure para MariaDB permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para MySQL | O Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
O backup com redundância geográfica deve ser habilitado para o Banco de Dados do Azure para PostgreSQL | O Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para seu servidor de banco de dados. Ele pode ser definido como um armazenamento de backup com redundância geográfica no qual os dados não são apenas armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer opção de recuperação em caso de falha de região. A configuração do armazenamento georredundante para cópia de segurança só é permitida durante a criação do servidor. | Auditoria, Desativado | 1.0.1 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
Os cofres de chaves devem ter a exclusão suave ativada | A exclusão de um cofre de chaves sem a exclusão automática habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no cofre de chaves. A exclusão acidental de um cofre de chaves pode levar à perda permanente de dados. A exclusão suave permite que você recupere um cofre de chaves excluído acidentalmente por um período de retenção configurável. | Auditoria, Negar, Desativado | 3.0.0 |
Os limites de recursos de CPU e memória dos contêineres de cluster do Kubernetes não devem exceder os limites especificados | Imponha limites de recursos de CPU e memória de contêiner para evitar ataques de esgotamento de recursos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes não devem compartilhar a ID do processo do host ou o namespace IPC do host | Bloqueie os contêineres de pod de compartilhar o namespace de ID de processo do host e o namespace IPC do host em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.2 e do CIS 5.2.3, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.2.0 |
Os contêineres de cluster do Kubernetes só devem usar perfis permitidos do AppArmor | Os contêineres só devem usar perfis AppArmor permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes devem usar apenas os recursos permitidos | Restrinja os recursos para reduzir a superfície de ataque de contêineres em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os contêineres de cluster do Kubernetes só devem usar imagens permitidas | Use imagens de registros confiáveis para reduzir o risco de exposição do cluster Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens maliciosas. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.3.0 |
Os contêineres de cluster do Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para proteger contra alterações em tempo de execução com binários mal-intencionados sendo adicionados ao PATH em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.3.0 |
Os volumes hostPath do pod de cluster do Kubernetes só devem usar caminhos de host permitidos | Limite as montagens de volume do pod HostPath aos caminhos de host permitidos em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods e contêineres de cluster do Kubernetes só devem ser executados com IDs de usuário e grupo aprovados | Controle os IDs de usuário, grupo primário, grupo suplementar e grupo do sistema de arquivos que pods e contêineres podem usar para executar em um cluster Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os pods de cluster do Kubernetes só devem usar a rede de host aprovada e o intervalo de portas | Restrinja o acesso do pod à rede host e ao intervalo de portas de host permitido em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.4 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 6.2.0 |
Os serviços de cluster do Kubernetes devem escutar somente nas portas permitidas | Restrinja os serviços para escutar apenas nas portas permitidas para proteger o acesso ao cluster do Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
O cluster do Kubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres privilegiados em um cluster do Kubernetes. Esta recomendação faz parte do CIS 5.2.1 que se destina a melhorar a segurança de seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 9.2.0 |
Os clusters Kubernetes devem ser acessíveis somente por HTTPS | O uso de HTTPS garante a autenticação e protege os dados em trânsito contra ataques de espionagem da camada de rede. Esse recurso está atualmente disponível para o Serviço Kubernetes (AKS) e em visualização para o Kubernetes habilitado para Azure Arc. Para mais informações, visite https://aka.ms/kubepolicydoc | auditoria, auditoria, negar, negar, desativado, desativado | 8.2.0 |
Os clusters Kubernetes devem desativar as credenciais de API de montagem automática | Desative as credenciais de API de montagem automática para impedir que um recurso de Pod potencialmente comprometido execute comandos de API em clusters Kubernetes. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
Os clusters do Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que contêineres sejam executados com escalonamento de privilégios para enraizar em um cluster Kubernetes. Esta recomendação faz parte do CIS 5.2.5 que se destina a melhorar a segurança dos seus ambientes Kubernetes. Esta política está geralmente disponível para o Serviço Kubernetes (AKS) e a visualização para o Kubernetes habilitado para Azure Arc. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 7.2.0 |
Os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir a superfície de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 5.1.0 |
Os clusters Kubernetes não devem usar o namespace padrão | Impeça o uso do namespace padrão em clusters Kubernetes para proteger contra acesso não autorizado para os tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, veja https://aka.ms/kubepolicydoc. | auditoria, auditoria, negar, negar, desativado, desativado | 4.2.0 |
As máquinas Linux devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.2.0 |
As máquinas virtuais Linux devem habilitar o Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.2.1 |
As máquinas devem ser configuradas para verificar periodicamente se há atualizações do sistema ausentes | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam acionadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: https://aka.ms/computevm-windowspatchassessmentmode, para Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Auditoria, Negar, Desativado | 3.7.0 |
Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
Microsoft Defender CSPM deve ser habilitado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender para APIs deve estar habilitado | O Microsoft Defender para APIs traz novas descobertas, proteção, deteção, cobertura de resposta de & para monitorar ataques comuns baseados em API ou configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado para espaços de trabalho Synapse desprotegidos | Habilite o Defender for SQL para proteger seus espaços de trabalho Synapse. O Defender for SQL monitora seu Synapse SQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desativado | 1.0.0 |
O status do Microsoft Defender for SQL deve ser protegido para SQL Servers habilitados para Arc | O Microsoft Defender for SQL fornece funcionalidade para detetar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL, descobrir e classificar dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando o Defender está habilitado, várias definições de configuração devem ser validadas no agente, na máquina, no espaço de trabalho e no servidor SQL para garantir a proteção ativa. | Auditoria, Desativado | 1.0.1 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
Os servidores PostgreSQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas por serviço, mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulamentar. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do Cofre de Chaves do Azure criada e de sua propriedade. Você tem total controle e responsabilidade pelo ciclo de vida da chave, incluindo rotação e gerenciamento. | AuditIfNotExists, desativado | 1.0.4 |
As conexões de ponto de extremidade privado no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados SQL do Azure. | Auditoria, Desativado | 1.1.0 |
Ponto de extremidade privado deve ser habilitado para servidores MariaDB | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MariaDB. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
Ponto de extremidade privado deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem uma comunicação segura habilitando a conectividade privada com o Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privada para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive no Azure. | AuditIfNotExists, desativado | 1.0.2 |
O acesso à rede pública no Banco de Dados SQL do Azure deve ser desabilitado | A desativação da propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração nega todos os logins que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 1.1.0 |
O acesso à rede pública deve ser desativado para servidores MariaDB | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MariaDB só possa ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desativado para servidores MySQL | Desative a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para MySQL só possa ser acessado a partir de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.0 |
O acesso à rede pública deve ser desabilitado para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e garantir que seu Banco de Dados do Azure para PostgreSQL só possa ser acessado a partir de um ponto de extremidade privado. Esta configuração desativa o acesso de qualquer espaço de endereço público fora do intervalo de IP do Azure e nega todos os inícios de sessão que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria, Negar, Desativado | 2.0.1 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos nos Espaços de Trabalho do Azure Databricks devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
Os logs de recursos no Serviço Kubernetes do Azure devem ser habilitados | Os logs de recursos do Serviço Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existirão quando necessário | AuditIfNotExists, desativado | 1.0.0 |
Os logs de recursos nos Espaços de Trabalho do Azure Machine Learning devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividade para uso para fins de investigação quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists, desativado | 1.0.1 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.4 |
A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de máquinas | Para garantir que suas VMs SQL e SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento do Azure direcionado para SQL está configurado para implantação automática. Isso também é necessário se você configurou anteriormente o provisionamento automático do Microsoft Monitoring Agent, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desativado | 1.0.0 |
Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
As contas de armazenamento devem impedir o acesso à chave compartilhada | Requisito de auditoria do Azure Ative Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais do Azure Ative Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Destes dois tipos de autorização, o Azure AD garante segurança superior e facilidade de utilização da Chave Partilhada, pelo que é a recomendação da Microsoft. | Auditoria, Negar, Desativado | 2.0.0 |
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
As contas de armazenamento devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear endpoints privados para sua conta de armazenamento, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, desativado | 2.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Os espaços de trabalho Synapse devem ter a autenticação somente Microsoft Entra-habilitada | Exija que o Synapse Workspaces use a autenticação somente do Microsoft Entra. Esta política não impede que espaços de trabalho sejam criados com a autenticação local ativada. Ele impede que a autenticação local seja habilitada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.0.0 |
Os espaços de trabalho Synapse devem usar apenas identidades do Microsoft Entra para autenticação durante a criação do espaço de trabalho | Exija que os espaços de trabalho Synapse sejam criados com autenticação somente Microsoft Entra. Esta política não impede que a autenticação local seja reativada em recursos após a criação. Considere usar a iniciativa 'Microsoft Entra-only authentication' em vez de exigir ambos. Saiba mais em: https://aka.ms/Synapse. | Auditoria, Negar, Desativado | 1.2.0 |
As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Máquinas virtuais e conjuntos de dimensionamento de máquinas virtuais devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento da máquina virtual. A criptografia no host permite a criptografia em repouso para seus caches de disco temporário e SO/disco de dados. Os discos temporários e efêmeros do sistema operacional são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está ativada. Os caches de disco de SO/dados são criptografados em repouso com chave gerenciada pelo cliente ou gerenciada pela plataforma, dependendo do tipo de criptografia selecionado no disco. Saiba mais em https://aka.ms/vm-hbe. | Auditoria, Negar, Desativado | 1.0.0 |
As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
Os modelos do Construtor de Imagens de VM devem usar link privado | O Azure Private Link permite conectar sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma Private Link lida com a conectividade entre o consumidor e os serviços através da rede de backbone do Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do VM Image Builder, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Auditar, Desabilitar, Negar | 1.1.0 |
Os gateways de VPN devem usar apenas a autenticação do Azure Ative Directory (Azure AD) para usuários ponto a site | A desativação de métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas identidades do Azure Ative Directory para autenticação. Saiba mais sobre a autenticação do Azure AD em https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Auditoria, Negar, Desativado | 1.0.0 |
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
O Web Application Firewall (WAF) deve ser habilitado para o Application Gateway | Implante o Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. O Web Application Firewall (WAF) fornece proteção centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeções de SQL, scripts entre sites e execuções de arquivos locais e remotos. Você também pode restringir o acesso aos seus aplicativos da Web por países, intervalos de endereços IP e outros parâmetros http(s) por meio de regras personalizadas. | Auditoria, Negar, Desativado | 2.0.0 |
O Windows Defender Exploit Guard deve ser ativado nas suas máquinas | O Windows Defender Exploit Guard usa o agente de Configuração de Convidado de Política do Azure. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e bloquear comportamentos comumente usados em ataques de malware, permitindo que as empresas equilibrem seus requisitos de segurança, risco e produtividade (somente Windows). | AuditIfNotExists, desativado | 2.0.0 |
As máquinas Windows devem ser configuradas para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, suas máquinas devem usar a versão mais recente do protocolo criptográfico padrão do setor, Transport Layer Security (TLS). O TLS protege as comunicações através de uma rede encriptando uma ligação entre máquinas. | AuditIfNotExists, desativado | 4.1.1 |
As máquinas Windows devem atender aos requisitos da linha de base de segurança de computação do Azure | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não serão compatíveis se a máquina não estiver configurada corretamente para uma das recomendações na linha de base de segurança de computação do Azure. | AuditIfNotExists, desativado | 2.0.0 |
As máquinas virtuais do Windows devem habilitar a Criptografia de Disco do Azure ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recursos (discos temporários), caches de dados e dados que fluem entre recursos de computação e armazenamento não são criptografados. Use o Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite https://aka.ms/diskencryptioncomparison para comparar ofertas de criptografia. Essa política requer dois pré-requisitos para ser implantada no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.1.1 |
Categoria Microsoft Defender for Cloud
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Linux Arc | Instale o agente de Segurança do Azure em suas máquinas Linux Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: O agente de Segurança do Azure deve ser instalado nos seus conjuntos de dimensionamento de máquinas virtuais Linux | Instale o agente de Segurança do Azure em seus conjuntos de escala de máquina virtual Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais Linux | Instale o agente de Segurança do Azure em suas máquinas virtuais Linux para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: O agente de Segurança do Azure deve ser instalado nas suas máquinas Windows Arc | Instale o agente de Segurança do Azure em suas máquinas Windows Arc para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: o agente de Segurança do Azure deve ser instalado nos conjuntos de dimensionamento da máquina virtual do Windows | Instale o agente de Segurança do Azure em seus conjuntos de dimensionamento de máquina virtual do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
[Pré-visualização]: o agente de Segurança do Azure deve ser instalado nas suas máquinas virtuais do Windows | Instale o agente de Segurança do Azure em suas máquinas virtuais do Windows para monitorar suas máquinas em busca de configurações de segurança e vulnerabilidades. Os resultados das avaliações podem ser vistos e geridos no Centro de Segurança do Azure. | AuditIfNotExists, desativado | 2.1.0-Pré-visualização |
[Preview]: A extensão ChangeTracking deve ser instalada na sua máquina Linux Arc | Instale a Extensão ChangeTracking em máquinas Linux Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Preview]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Linux | Instale a Extensão ChangeTracking em máquinas virtuais Linux para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Preview]: A extensão ChangeTracking deve ser instalada em seus conjuntos de dimensionamento de máquina virtual Linux | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual Linux para habilitar o FIM (Monitoramento de Integridade de Arquivo) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina Windows Arc | Instale a Extensão ChangeTracking em máquinas Windows Arc para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: A extensão ChangeTracking deve ser instalada na sua máquina virtual Windows | Instale a Extensão ChangeTracking em máquinas virtuais do Windows para habilitar o FIM (Monitoramento de Integridade de Arquivos) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: A extensão ChangeTracking deve ser instalada nos conjuntos de dimensionamento da máquina virtual do Windows | Instale a Extensão ChangeTracking em conjuntos de dimensionamento de máquina virtual do Windows para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitoring Agent. | AuditIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configurar o agente do Azure Defender para SQL na máquina virtual | Configure máquinas Windows para instalar automaticamente o agente do Azure Defender for SQL onde o Azure Monitor Agent está instalado. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Cria um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Preview]: Configurar a extensão ChangeTracking para máquinas Linux Arc | Configure máquinas Linux Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Preview]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquina virtual Linux | Configure conjuntos de dimensionamento de máquina virtual Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Preview]: Configurar a extensão ChangeTracking para máquinas virtuais Linux | Configure máquinas virtuais Linux para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Preview]: Configurar a extensão ChangeTracking para máquinas Windows Arc | Configure máquinas Windows Arc para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configurar a extensão ChangeTracking para conjuntos de dimensionamento de máquinas virtuais do Windows | Configure conjuntos de dimensionamento de máquina virtual do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o Monitoramento de Integridade de Arquivo (FIM) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configurar a extensão ChangeTracking para máquinas virtuais Windows | Configure máquinas virtuais do Windows para instalar automaticamente a Extensão ChangeTracking para habilitar o FIM (File Integrity Monitoring) na Central de Segurança do Azure. O FIM examina arquivos do sistema operacional, registros do Windows, software de aplicativos, arquivos do sistema Linux e muito mais, em busca de alterações que possam indicar um ataque. A extensão pode ser instalada em máquinas virtuais e locais suportados pelo Azure Monitor Agent. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configurar máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Linux Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Linux Arc de destino devem estar em um local suportado. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual Linux suportados para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Preview]: Configure conjuntos de dimensionamento de máquinas virtuais Linux suportados para instalar automaticamente a extensão Guest Attestation | Configure conjuntos de dimensionamento de máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 6.1.0-Pré-visualização |
[Pré-visualização]: Configurar máquinas virtuais Linux suportadas para ativar automaticamente o Arranque Seguro | Configure máquinas virtuais Linux suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações maliciosas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 5.0.0-pré-visualização |
[Pré-visualização]: Configurar máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas virtuais Linux suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 7.0.0-pré-visualização |
[Preview]: Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Guest Attestation | Configure máquinas virtuais Linux suportadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 7.1.0-Pré-visualização |
[Pré-visualização]: Configurar máquinas virtuais suportadas para ativar automaticamente o vTPM | Configure máquinas virtuais suportadas para habilitar automaticamente o vTPM para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configurar máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows Arc suportadas para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas Windows Arc de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: Configurar máquinas Windows suportadas para instalar automaticamente o agente de Segurança do Azure | Configure máquinas Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). As máquinas virtuais de destino devem estar em um local com suporte. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
[Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais do Windows suportados para instalar automaticamente o agente de Segurança do Azure | Configure conjuntos de dimensionamento de máquina virtual do Windows com suporte para instalar automaticamente o agente de Segurança do Azure. A Central de Segurança coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Os conjuntos de dimensionamento de máquinas virtuais do Windows de destino devem estar em um local compatível. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
[Pré-visualização]: Configurar conjuntos de dimensionamento de máquinas virtuais Windows suportados para instalar automaticamente a extensão Atestado de Convidado | Configure os conjuntos de dimensionamento de máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 4.1.0-Pré-visualização |
[Pré-visualização]: Configurar máquinas virtuais Windows suportadas para ativar automaticamente o Arranque Seguro | Configure as máquinas virtuais do Windows suportadas para habilitar automaticamente a Inicialização Segura para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. | DeployIfNotExists, desativado | 3.0.0-Pré-visualização |
[Pré-visualização]: Configurar máquinas virtuais Windows suportadas para instalar automaticamente a extensão Atestado de Convidado | Configure máquinas virtuais do Windows com suporte para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 5.1.0-Pré-visualização |
[Pré-visualização]: Configure VMs criadas com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure máquinas virtuais criadas com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.0.0-pré-visualização |
[Pré-visualização]: Configure o VMSS criado com imagens da Galeria de Imagens Partilhadas para instalar a extensão Atestado de Convidado | Configure o VMSS criado com imagens da Galeria de Imagens Compartilhadas para instalar automaticamente a extensão de Atestado de Convidado para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. A integridade da inicialização é atestada por meio de atestado remoto. | DeployIfNotExists, desativado | 2.1.0-Pré-visualização |
[Visualização]: Implantar o agente do Microsoft Defender for Endpoint em máquinas híbridas Linux | Implanta o agente Microsoft Defender for Endpoint em máquinas híbridas Linux | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
[Pré-visualização]: Implementar o agente do Microsoft Defender for Endpoint em máquinas virtuais Linux | Implanta o agente do Microsoft Defender for Endpoint em imagens de VM Linux aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 3.0.0-Pré-visualização |
[Preview]: Implantar o agente do Microsoft Defender for Endpoint em máquinas Windows Azure Arc | Implanta o Microsoft Defender for Endpoint em máquinas Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
[Pré-visualização]: Implementar o Microsoft Defender for Endpoint agent em máquinas virtuais Windows | Implanta o Microsoft Defender for Endpoint em imagens de VM do Windows aplicáveis. | DeployIfNotExists, AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
[Preview]: A extensão Guest Attestation deve ser instalada em máquinas virtuais Linux suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Linux Trusted Launch e Confidential. | AuditIfNotExists, desativado | 6.0.0-pré-visualização |
[Preview]: A extensão Guest Attestation deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Linux suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais Linux suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Linux Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 5.1.0-Pré-visualização |
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em máquinas virtuais Windows suportadas | Instale a extensão Atestado de Convidado em máquinas virtuais suportadas para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 4.0.0-Pré-visualização |
[Pré-visualização]: A extensão de Atestado de Convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows suportados | Instale a extensão Atestado de Convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que a Central de Segurança do Azure ateste e monitore proativamente a integridade da inicialização. Uma vez instalado, a integridade de inicialização será atestada via Atestado Remoto. Esta avaliação aplica-se aos conjuntos de dimensionamento de máquinas virtuais Windows Confiáveis e Confidenciais. | AuditIfNotExists, desativado | 3.1.0-Pré-visualização |
[Pré-visualização]: As máquinas virtuais Linux devem utilizar apenas componentes de arranque assinados e fidedignos | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por editores confiáveis. O Defender for Cloud identificou componentes de inicialização do sistema operacional não confiáveis em uma ou mais de suas máquinas Linux. Para proteger as suas máquinas de componentes potencialmente maliciosos, adicione-os à sua lista de permissões ou remova os componentes identificados. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: As máquinas virtuais Linux devem utilizar o Arranque Seguro | Para proteger contra a instalação de rootkits baseados em malware e kits de inicialização, habilite a Inicialização Segura em máquinas virtuais Linux suportadas. A Inicialização Segura garante que apenas os sistemas operacionais e drivers assinados terão permissão para serem executados. Esta avaliação só se aplica a máquinas virtuais Linux que tenham o Azure Monitor Agent instalado. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: As máquinas devem ter portas fechadas que possam expor vetores de ataque | Os Termos de Utilização do Azure proíbem a utilização dos serviços do Azure de formas que possam danificar, desativar, sobrecarregar ou prejudicar qualquer servidor da Microsoft ou a rede. As portas expostas identificadas por esta recomendação precisam ser fechadas para sua segurança contínua. Para cada porto identificado, a recomendação também fornece uma explicação da ameaça potencial. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: O Arranque Seguro deve ser ativado em máquinas virtuais Windows suportadas | Habilite a Inicialização Segura em máquinas virtuais Windows suportadas para mitigar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Uma vez ativados, apenas bootloaders confiáveis, kernel e drivers do kernel poderão ser executados. Esta avaliação aplica-se a máquinas virtuais Windows Confiáveis e Confidenciais. | Auditoria, Desativado | 4.0.0-Pré-visualização |
[Pré-visualização]: O estado do atestado de convidado de máquinas virtuais deve estar saudável | O atestado de convidado é realizado enviando um log confiável (TCGLog) para um servidor de atestado. O servidor usa esses logs para determinar se os componentes de inicialização são confiáveis. Esta avaliação destina-se a detetar comprometimentos da cadeia de inicialização que podem ser o resultado de uma infeção por bootkit ou rootkit. Essa avaliação só se aplica a máquinas virtuais habilitadas para Inicialização Confiável que tenham a extensão Atestado de Convidado instalada. | AuditIfNotExists, desativado | 1.0.0-pré-visualização |
[Pré-visualização]: o vTPM deve ser ativado em máquinas virtuais suportadas | Habilite o dispositivo TPM virtual em máquinas virtuais suportadas para facilitar a inicialização medida e outros recursos de segurança do sistema operacional que exigem um TPM. Uma vez ativado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação só se aplica a máquinas virtuais habilitadas para inicialização confiável. | Auditoria, Desativado | 2.0.0-pré-visualização |
Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
Uma solução de avaliação de vulnerabilidade deve ser habilitada em suas máquinas virtuais | Audita máquinas virtuais para detetar se elas estão executando uma solução de avaliação de vulnerabilidade suportada. Um componente central de cada programa de segurança e risco cibernético é a identificação e análise de vulnerabilidades. O nível de preços padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidades para suas máquinas virtuais sem custo extra. Além disso, a Central de Segurança pode implantar automaticamente essa ferramenta para você. | AuditIfNotExists, desativado | 3.0.0 |
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
Os pontos de extremidade de API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados no Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Por vezes, os mecanismos de autenticação são implementados incorretamente ou estão em falta. Isso permite que os invasores explorem falhas de implementação e acessem dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário quebrada aqui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, desativado | 1.0.1 |
Os pontos de extremidade de API que não são usados devem ser desabilitados e removidos do serviço de Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço de Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Essas APIs normalmente não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists, desativado | 1.0.1 |
Os intervalos de IP autorizados devem ser definidos nos Serviços Kubernetes | Restrinja o acesso à API de Gerenciamento de Serviços do Kubernetes concedendo acesso à API apenas a endereços IP em intervalos específicos. Recomenda-se limitar o acesso a intervalos de IP autorizados para garantir que apenas aplicativos de redes permitidas possam acessar o cluster. | Auditoria, Desativado | 2.0.1 |
A Proteção contra DDoS do Azure deve ser habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faça parte de um gateway de aplicativo com um IP público. | AuditIfNotExists, desativado | 3.0.1 |
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
O Azure Defender para bancos de dados relacionais de código aberto deve ser habilitado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender for Resource Manager deve estar habilitado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
O Azure Defender for SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Audite servidores flexíveis MySQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
O Azure Defender for SQL deve ser habilitado para servidores flexíveis PostgreSQL desprotegidos | Audite servidores flexíveis PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 1.0.0 |
As imagens de contêiner do Registro do Azure devem ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists, desativado | 1.0.1 |
O Azure executando imagens de contêiner deve ter vulnerabilidades resolvidas (com tecnologia Microsoft Defender Vulnerability Management) | A avaliação de vulnerabilidade da imagem de contêiner verifica o registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório de vulnerabilidade detalhado para cada imagem. Essa recomendação fornece visibilidade para imagens vulneráveis atualmente em execução em seus clusters Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente a superfície de ataque para suas cargas de trabalho conteinerizadas. | AuditIfNotExists, desativado | 1.0.1 |
Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ser configuradas com segurança | Proteja suas instâncias de função do Serviço de Nuvem (suporte estendido) contra ataques, garantindo que elas não sejam expostas a nenhuma vulnerabilidade do sistema operacional. | AuditIfNotExists, desativado | 1.0.0 |
As instâncias de função dos Serviços de Nuvem (suporte estendido) devem ter uma solução de proteção de ponto de extremidade instalada | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) contra ameaças e vulnerabilidades, garantindo que uma solução de proteção de endpoint esteja instalada nelas. | AuditIfNotExists, desativado | 1.0.0 |
As instâncias de função Serviços de Nuvem (suporte estendido) devem ter atualizações do sistema instaladas | Proteja suas instâncias de função de Serviços de Nuvem (suporte estendido) garantindo que as atualizações críticas e de segurança mais recentes sejam instaladas nelas. | AuditIfNotExists, desativado | 1.0.0 |
Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores flexíveis MySQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure para servidores flexíveis do MySQL para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.0.0 |
Configurar a Proteção Avançada contra Ameaças para ser habilitada no banco de dados do Azure para servidores flexíveis PostgreSQL | Habilite a Proteção Avançada contra Ameaças em seu banco de dados do Azure para servidores flexíveis PostgreSQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | DeployIfNotExists, desativado | 1.1.0 |
Configurar SQL Servers habilitados para Arc para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em seus SQL Servers habilitados para Windows Arc. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.3.0 |
Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL | Configure os SQL Servers habilitados para Windows Arc para instalar automaticamente o agente do Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.2.0 |
Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho do Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.5.0 |
Configurar SQL Servers habilitados para Arc para instalar automaticamente o Microsoft Defender for SQL e DCR com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | DeployIfNotExists, desativado | 1.7.0 |
Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao Microsoft Defender for SQL DCR | Configure a associação entre SQL Servers habilitados para Arc e o Microsoft Defender for SQL DCR. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.1.0 |
Configurar SQL Servers habilitados para Arc com Associação de Regra de Coleta de Dados ao DCR definido pelo usuário do Microsoft Defender for SQL | Configure a associação entre SQL Servers habilitados para Arc e o DCR definido pelo usuário do Microsoft Defender for SQL. A exclusão dessa associação interromperá a deteção de vulnerabilidades de segurança para esses SQL Servers habilitados para Arc. | DeployIfNotExists, desativado | 1.3.0 |
Configure o Azure Defender para Serviço de Aplicações como ativado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | DeployIfNotExists, desativado | 1.0.1 |
Configure o Azure Defender para base de dados SQL do Azure como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
Configure o Azure Defender para bases de dados relacionais open-source como ativado | O Azure Defender para bancos de dados relacionais de código aberto deteta atividades anômalas indicando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos do Azure Defender para bancos de dados relacionais de código aberto em https://aka.ms/AzDforOpenSourceDBsDocu. Importante: habilitar esse plano resultará em cobranças para proteger seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: https://aka.ms/pricing-security-center | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Azure Defender para o Resource Manager como ativado | O Azure Defender for Resource Manager monitoriza automaticamente as operações de gestão de recursos na sua organização. O Azure Defender deteta ameaças e alerta-o sobre atividades suspeitas. Saiba mais sobre os recursos do Azure Defender for Resource Manager em https://aka.ms/defender-for-resource-manager . Habilitar este plano do Azure Defender resulta em cobranças. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: https://aka.ms/pricing-security-center . | DeployIfNotExists, desativado | 1.1.0 |
Configure o Azure Defender para Servidores como ativados | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | DeployIfNotExists, desativado | 1.0.1 |
Configure o Azure Defender para servidores SQL em máquinas como ativado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | DeployIfNotExists, desativado | 1.0.1 |
Configurar o Microsoft Defender básico para armazenamento a ser habilitado (somente Monitoramento de Atividades) | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará os recursos básicos do Defender for Storage (Monitoramento de atividades). Para habilitar a proteção total, que também inclui a verificação de malware ao carregar e a deteção de ameaças de dados confidenciais, use a política de habilitação completa: aka.ms/DefenderForStoragePolicy. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.1.0 |
Configurar máquinas para receber um provedor de avaliação de vulnerabilidade | O Azure Defender inclui a verificação de vulnerabilidades para suas máquinas sem custo extra. Você não precisa de uma licença Qualys ou mesmo de uma conta Qualys - tudo é tratado perfeitamente dentro da Central de Segurança. Quando você habilita essa política, o Azure Defender implanta automaticamente o provedor de avaliação de vulnerabilidades do Qualys em todas as máquinas com suporte que ainda não o têm instalado. | DeployIfNotExists, desativado | 4.0.0 |
Configurar o plano CSPM do Microsoft Defender | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.0 |
Configure o GPSC do Microsoft Defender como ativado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | DeployIfNotExists, desativado | 1.0.2 |
Configure o Microsoft Defender para o Azure Cosmos DB como ativado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o plano do Microsoft Defender for Containers | Novos recursos estão sendo continuamente adicionados ao plano Defender for Containers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Microsoft Defender para Contentores como ativados | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | DeployIfNotExists, desativado | 1.0.1 |
Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP_EXCLUDE_LINUX_...), para habilitar o provisionamento automático de servidores MDE para Linux. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configura as configurações de integração do Microsoft Defender for Endpoint, no Microsoft Defender for Cloud (também conhecido como WDATP_UNIFIED_SOLUTION), para habilitar o provisionamento automático do MDE Unified Agent para Windows Server 2012R2 e 2016. A configuração WDATP deve ser ativada para que essa configuração seja aplicada. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
Definir configurações de integração do Microsoft Defender for Endpoint com o Microsoft Defender for Cloud (WDATP) | Configura as configurações de integração do Microsoft Defender for Endpoint, dentro do Microsoft Defender for Cloud (também conhecido como WDATP), para máquinas de nível inferior do Windows integradas ao MDE via MMA e provisionamento automático de MDE no Windows Server 2019, Windows Virtual Desktop e superior. Deve ser ativado para que as outras configurações (WDATP_UNIFIED, etc.) funcionem. Consulte: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint para mais informações. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o plano Microsoft Defender for Key Vault | O Microsoft Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança, detetando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | DeployIfNotExists, desativado | 1.1.0 |
Configurar o plano do Microsoft Defender para Servidores | Novos recursos estão sendo continuamente adicionados ao Defender for Servers, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Microsoft Defender para SQL para ser habilitado em espaços de trabalho Synapse | Habilite o Microsoft Defender for SQL em seus espaços de trabalho do Azure Synapse para detetar atividades anômalas que indiquem tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados SQL. | DeployIfNotExists, desativado | 1.0.0 |
Configurar o Microsoft Defender para armazenamento (Clássico) para ser habilitado | O Microsoft Defender for Storage (Classic) fornece deteções de tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de armazenamento. | DeployIfNotExists, desativado | 1.0.2 |
Configurar o Microsoft Defender para que o armazenamento seja habilitado | O Microsoft Defender for Storage é uma camada nativa do Azure de inteligência de segurança que deteta ameaças potenciais às suas contas de armazenamento. Essa política habilitará todos os recursos do Defender for Storage; Monitoramento de atividades, verificação de malware e deteção de ameaças de dados confidenciais. Para saber mais sobre os recursos e benefícios do Defender for Storage, visite aka.ms/DefenderForStorage. | DeployIfNotExists, desativado | 1.4.0 |
Configurar a proteção contra ameaças do Microsoft Defender para cargas de trabalho de IA | Novos recursos estão sendo continuamente adicionados à proteção contra ameaças para cargas de trabalho de IA, o que pode exigir a ativação explícita do usuário. Use esta política para garantir que todos os novos recursos serão habilitados. | DeployIfNotExists, desativado | 1.0.0 |
Configurar Máquinas Virtuais SQL para instalar automaticamente o Azure Monitor Agent | Automatize a implantação da extensão do Azure Monitor Agent em suas Máquinas Virtuais SQL do Windows. Saiba mais: https://aka.ms/AMAOverview. | DeployIfNotExists, desativado | 1.5.0 |
Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender for SQL | Configure as Máquinas Virtuais do Windows SQL para instalar automaticamente a extensão Microsoft Defender for SQL. O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). | DeployIfNotExists, desativado | 1.5.0 |
Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender para SQL e DCR com um espaço de trabalho do Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos, uma Regra de Coleta de Dados e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.7.0 |
Configurar máquinas virtuais SQL para instalar automaticamente o Microsoft Defender para SQL e DCR com um espaço de trabalho LA definido pelo usuário | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e uma Regra de Coleta de Dados na mesma região do espaço de trabalho do Log Analytics definido pelo usuário. | DeployIfNotExists, desativado | 1.8.0 |
Configurar o espaço de trabalho do Microsoft Defender for SQL Log Analytics | O Microsoft Defender for SQL coleta eventos do agente e os usa para fornecer alertas de segurança e tarefas de proteção personalizadas (recomendações). Crie um grupo de recursos e um espaço de trabalho do Log Analytics na mesma região da máquina. | DeployIfNotExists, desativado | 1.4.0 |
Criar e atribuir uma identidade gerenciada atribuída pelo usuário interna | Crie e atribua uma identidade gerenciada interna atribuída pelo usuário em escala para máquinas virtuais SQL. | AuditIfNotExists, DeployIfNotExists, desativado | 1.7.0 |
Implantar - Configurar regras de supressão para alertas da Central de Segurança do Azure | Suprima os alertas da Central de Segurança do Azure para reduzir a fadiga dos alertas implantando regras de supressão em seu grupo de gerenciamento ou assinatura. | deployIfNotExists | 1.0.0 |
Implantar a exportação para o Hub de Eventos como um serviço confiável para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos como um serviço confiável de dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para o Hub de Eventos como uma configuração de serviço confiável com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | DeployIfNotExists, desativado | 1.0.0 |
Implantar a exportação para o Hub de Eventos para dados do Microsoft Defender for Cloud | Habilite a exportação para o Hub de Eventos dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do Hub de Eventos com suas condições e o Hub de Eventos de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.2.0 |
Implantar exportação para o espaço de trabalho do Log Analytics para dados do Microsoft Defender for Cloud | Habilite a exportação para o espaço de trabalho do Log Analytics dos dados do Microsoft Defender for Cloud. Esta política implanta uma exportação para a configuração do espaço de trabalho do Log Analytics com suas condições e espaço de trabalho de destino no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 4.1.0 |
Implementar a Automatização de Fluxo de Trabalho para alertas do Microsoft Defender para Cloud | Habilite a automação de alertas do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
Implementar a Automatização de Fluxo de Trabalho para recomendações do Microsoft Defender para Cloud | Habilite a automação das recomendações do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
Implantar a automação do fluxo de trabalho para conformidade regulatória do Microsoft Defender for Cloud | Habilite a automação da conformidade regulatória do Microsoft Defender for Cloud. Esta política implanta uma automação de fluxo de trabalho com suas condições e gatilhos no escopo atribuído. Para implantar essa política em assinaturas recém-criadas, abra a guia Conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 5.0.1 |
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
A notificação por e-mail ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para garantir que os proprietários da sua subscrição são notificados quando existe uma potencial violação de segurança na respetiva subscrição, defina notificações por e-mail aos proprietários da subscrição para alertas de elevada gravidade no Centro de Segurança. | AuditIfNotExists, desativado | 2.1.0 |
Habilite o Microsoft Defender for Cloud em sua assinatura | Identifica assinaturas existentes que não são monitoradas pelo Microsoft Defender for Cloud e as protege com os recursos gratuitos do Defender for Cloud. As subscrições já monitorizadas serão consideradas conformes. Para registrar assinaturas recém-criadas, abra a guia de conformidade, selecione a atribuição não compatível relevante e crie uma tarefa de correção. | deployIfNotExists | 1.0.1 |
Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com espaço de trabalho personalizado. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando um espaço de trabalho personalizado. | DeployIfNotExists, desativado | 1.0.0 |
Habilite o provisionamento automático do agente do Log Analytics pela Central de Segurança em suas assinaturas com o espaço de trabalho padrão. | Permita que a Central de Segurança provisione automaticamente o agente do Log Analytics em suas assinaturas para monitorar e coletar dados de segurança usando o espaço de trabalho padrão ASC. | DeployIfNotExists, desativado | 1.0.0 |
Habilite a proteção contra ameaças para cargas de trabalho de IA | A proteção contra ameaças da Microsoft para cargas de trabalho de IA fornece alertas de segurança contextualizados e baseados em evidências destinados a proteger aplicativos internos desenvolvidos com IA generativa | DeployIfNotExists, desativado | 1.0.0 |
Os problemas de integridade da proteção de endpoint devem ser resolvidos em suas máquinas | Resolva problemas de integridade da proteção de endpoint em suas máquinas virtuais para protegê-las contra as ameaças e vulnerabilidades mais recentes. As soluções de proteção de ponto de extremidade suportadas pela Central de Segurança do Azure estão documentadas aqui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A avaliação da proteção de pontos finais está documentada aqui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, desativado | 1.0.0 |
O Endpoint Protection deve ser instalado nas suas máquinas | Para proteger as suas máquinas contra ameaças e vulnerabilidades, instale uma solução de proteção de terminais suportada. | AuditIfNotExists, desativado | 1.0.0 |
A solução de proteção de ponto de extremidade deve ser instalada em conjuntos de dimensionamento de máquina virtual | Audite a existência e a integridade de uma solução de proteção de ponto final em seus conjuntos de dimensionamento de máquinas virtuais, para protegê-los contra ameaças e vulnerabilidades. | AuditIfNotExists, desativado | 3.0.0 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
A extensão Configuração do Convidado deve ser instalada em suas máquinas | Para garantir configurações seguras das configurações de convidado da sua máquina, instale a extensão Configuração de convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou presença do aplicativo e as configurações do ambiente. Uma vez instaladas, as políticas de convidado estarão disponíveis, como 'O Windows Exploit guard deve ser ativado'. Saiba mais em https://aka.ms/gcpol. | AuditIfNotExists, desativado | 1.0.3 |
As máquinas virtuais voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais contra ameaças potenciais restringindo o acesso a elas com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
O encaminhamento de IP em sua máquina virtual deve ser desabilitado | Habilitar o encaminhamento de IP na NIC de uma máquina virtual permite que a máquina receba tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como um dispositivo virtual de rede) e, portanto, isso deve ser revisado pela equipe de segurança de rede. | AuditIfNotExists, desativado | 3.0.0 |
Os Serviços do Kubernetes devem ser atualizados para uma versão não vulnerável do Kubernetes | Atualize seu cluster de serviço do Kubernetes para uma versão posterior do Kubernetes para proteger contra vulnerabilidades conhecidas na sua versão atual do Kubernetes. A vulnerabilidade CVE-2019-9946 foi corrigida nas versões 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ do Kubernetes | Auditoria, Desativado | 1.0.2 |
O agente do Log Analytics deve ser instalado em suas instâncias de função de Serviços de Nuvem (suporte estendido) | A Central de Segurança coleta dados de suas instâncias de função de Serviços de Nuvem (suporte estendido) para monitorar vulnerabilidades e ameaças de segurança. | AuditIfNotExists, desativado | 2.0.0 |
Máquinas devem ter descobertas secretas resolvidas | Audita máquinas virtuais para detetar se elas contêm descobertas secretas das soluções de verificação secretas em suas máquinas virtuais. | AuditIfNotExists, desativado | 1.0.2 |
As portas de gerenciamento de máquinas virtuais devem ser protegidas com controle de acesso à rede just-in-time | O possível acesso à rede Just In Time (JIT) será monitorado pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As portas de gerenciamento devem ser fechadas em suas máquinas virtuais | As portas de gerenciamento remoto abertas estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam obter credenciais de força bruta para obter acesso de administrador à máquina. | AuditIfNotExists, desativado | 3.0.0 |
Microsoft Defender CSPM deve ser habilitado | O Defender Cloud Security Posture Management (CSPM) fornece recursos aprimorados de postura e um novo gráfico inteligente de segurança na nuvem para ajudar a identificar, priorizar e reduzir riscos. O Defender CSPM está disponível, além dos recursos gratuitos de postura de segurança fundamental ativados por padrão no Defender for Cloud. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender para APIs deve estar habilitado | O Microsoft Defender para APIs traz novas descobertas, proteção, deteção, cobertura de resposta de & para monitorar ataques comuns baseados em API ou configurações incorretas de segurança. | AuditIfNotExists, desativado | 1.0.3 |
O Microsoft Defender para Azure Cosmos DB deve ser habilitado | O Microsoft Defender for Azure Cosmos DB é uma camada de segurança nativa do Azure que deteta tentativas de explorar bancos de dados em suas contas do Azure Cosmos DB. O Defender for Azure Cosmos DB deteta potenciais injeções de SQL, agentes mal-intencionados conhecidos com base no Microsoft Threat Intelligence, padrões de acesso suspeitos e potenciais explorações da sua base de dados através de identidades comprometidas ou de iniciados maliciosos. | AuditIfNotExists, desativado | 1.0.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
O Microsoft Defender para SQL deve ser habilitado para espaços de trabalho Synapse desprotegidos | Habilite o Defender for SQL para proteger seus espaços de trabalho Synapse. O Defender for SQL monitora seu Synapse SQL para detetar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists, desativado | 1.0.0 |
O status do Microsoft Defender for SQL deve ser protegido para SQL Servers habilitados para Arc | O Microsoft Defender for SQL fornece funcionalidade para detetar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL, descobrir e classificar dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando o Defender está habilitado, várias definições de configuração devem ser validadas no agente, na máquina, no espaço de trabalho e no servidor SQL para garantir a proteção ativa. | Auditoria, Desativado | 1.0.1 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Monitorar o Endpoint Protection ausente na Central de Segurança do Azure | Os servidores sem um agente do Endpoint Protection instalado serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.0.0 |
As máquinas virtuais não voltadas para a Internet devem ser protegidas com grupos de segurança de rede | Proteja suas máquinas virtuais não voltadas para a Internet contra ameaças potenciais restringindo o acesso com grupos de segurança de rede (NSG). Saiba mais sobre como controlar o tráfego com NSGs em https://aka.ms/nsg-doc | AuditIfNotExists, desativado | 3.0.0 |
O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.4 |
O nível de preço padrão da Central de Segurança deve ser selecionado | A camada de preço padrão permite a deteção de ameaças para redes e máquinas virtuais, fornecendo inteligência de ameaças, deteção de anomalias e análise de comportamento na Central de Segurança do Azure | Auditoria, Desativado | 1.1.0 |
Configurar subscrições para fazer a transição para uma solução alternativa de avaliação de vulnerabilidades | O Microsoft Defender para nuvem oferece verificação de vulnerabilidades para suas máquinas sem custo extra. Habilitar essa política fará com que o Defender for Cloud propague automaticamente as descobertas da solução de gerenciamento de vulnerabilidades interna do Microsoft Defender para todas as máquinas suportadas. | DeployIfNotExists, desativado | 1.0.0-pré-visualização |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
O provisionamento automático direcionado ao SQL Server deve ser habilitado para servidores SQL no plano de máquinas | Para garantir que suas VMs SQL e SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento do Azure direcionado para SQL está configurado para implantação automática. Isso também é necessário se você configurou anteriormente o provisionamento automático do Microsoft Monitoring Agent, pois esse componente está sendo preterido. Saiba mais: https://aka.ms/SQLAMAMigration | AuditIfNotExists, desativado | 1.0.0 |
Servidores SQL em máquinas devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidade do SQL verifica seu banco de dados em busca de vulnerabilidades de segurança e expõe quaisquer desvios das práticas recomendadas, como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança do seu banco de dados. | AuditIfNotExists, desativado | 1.0.0 |
As sub-redes devem estar associadas a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo o acesso a ela com um NSG (Network Security Group). Os NSGs contêm uma lista de regras de ACL (Lista de Controle de Acesso) que permitem ou negam tráfego de rede para sua sub-rede. | AuditIfNotExists, desativado | 3.0.0 |
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
As atualizações do sistema devem ser instaladas em suas máquinas (alimentadas pela Central de Atualizações) | Suas máquinas estão faltando sistema, segurança e atualizações críticas. As atualizações de software geralmente incluem patches críticos para falhas de segurança. Essas falhas são frequentemente exploradas em ataques de malware, por isso é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger suas máquinas, siga as etapas de correção. | AuditIfNotExists, desativado | 1.0.1 |
Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
A extensão Configuração de Convidado das máquinas virtuais deve ser implantada com identidade gerenciada atribuída ao sistema | A extensão Configuração de Convidado requer uma identidade gerenciada atribuída ao sistema. As máquinas virtuais do Azure no âmbito desta política não serão compatíveis quando tiverem a extensão Configuração de Convidado instalada, mas não tiverem uma identidade gerida atribuída ao sistema. Saiba mais em https://aka.ms/gcpol | AuditIfNotExists, desativado | 1.0.1 |
As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Próximos passos
Neste artigo, você aprendeu sobre as definições de política de segurança da Política do Azure no Defender for Cloud. Para saber mais sobre iniciativas, políticas e como elas se relacionam com as recomendações do Defender for Cloud, consulte O que são políticas, iniciativas e recomendações de segurança?.