Detalhes da iniciativa interna de conformidade regulatória CIS Microsoft Azure Foundations Benchmark 1.4.0
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade no CIS Microsoft Azure Foundations Benchmark 1.4.0. Para obter mais informações sobre esse padrão de conformidade, consulte CIS Microsoft Azure Foundations Benchmark 1.4.0. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles CIS Microsoft Azure Foundations Benchmark 1.4.0 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de Conformidade Regulatória do CIS Microsoft Azure Foundations Benchmark v1.4.0 .
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
1 Gestão de Identidades e Acessos
Certifique-se de que 'Multi-Factor Auth Status' está 'Ativado' para todos os usuários privilegiados
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.1 Propriedade: compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Os utilizadores podem adicionar aplicações da galeria às Minhas Aplicações' está definido como 'Não'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Os utilizadores podem registar aplicações' está definido como 'Não'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Restrições de acesso de usuários convidados' esteja definido como 'O acesso de usuário convidado está restrito a propriedades e associações de seus próprios objetos de diretório''
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Restrições de convite de convidado' esteja definido como "Somente usuários atribuídos a funções de administrador específicas podem convidar usuários convidados"
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.13 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Verifique se 'Restringir acesso ao portal de administração do Azure AD' está definido como 'Sim'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.14 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Verifique se 'Restringir a capacidade do usuário de acessar recursos de grupos no Painel de Acesso' está definido como 'Sim'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.15 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Verifique se 'Os usuários podem criar grupos de segurança nos portais do Azure, API ou PowerShell' está definido como 'Não'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.16 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Os proprietários podem gerir pedidos de adesão a grupos no Painel de Acesso' está definido como 'Não'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.17 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Verifique se 'Os usuários podem criar grupos do Microsoft 365 em portais do Azure, API ou PowerShell' está definido como 'Não'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.18 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Exigir autenticação multifator para registrar ou ingressar dispositivos com o Azure AD' esteja definido como 'Sim'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.19 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Multi-Factor Auth Status' está 'Ativado' para todos os usuários sem privilégios
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Certifique-se de que nenhuma função de proprietário de assinatura personalizada seja criada
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.20 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Verifique se os Padrões de Segurança estão habilitados no Azure Ative Directory
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.21 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
Verifique se uma função personalizada recebeu permissões para administrar bloqueios de recursos
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.22 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Garantir que os usuários convidados sejam revisados mensalmente
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de leitura em recursos do Azure devem ser removidas | As contas externas com privilégios de leitura devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
Reatribuir ou remover privilégios de usuário conforme necessário | CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário | Manual, Desativado | 1.1.0 |
Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
Verifique se a opção 'Restaurar autenticação multifator em todos os dispositivos lembrados' está ativada
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
Satisfazer os requisitos de qualidade do token | CMA_0487 - Satisfazer os requisitos de qualidade do token | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Número de dias antes que os usuários sejam solicitados a confirmar novamente suas informações de autenticação' não esteja definido como '0'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Certifique-se de que "Notificar os usuários sobre redefinições de senha?" está definido como 'Sim'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Certifique-se de que "Notificar todos os administradores quando outros administradores redefinirem sua senha?" está definido como 'Sim'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Certifique-se de que "Os utilizadores podem consentir que as aplicações acedam aos dados da empresa em seu nome" está definido como "Não"
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 1.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
2 Microsoft Defender para Cloud
Verifique se o Microsoft Defender for Servers está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender para servidores deve estar habilitado | O Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists, desativado | 1.0.3 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se a integração do Microsoft Defender for Cloud Apps (MCAS) com o Microsoft Defender for Cloud está selecionada
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o provisionamento automático do 'Agente do Log Analytics para VMs do Azure' está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
Verifique se qualquer uma das configurações de política padrão ASC não está definida como 'Desabilitada'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar ações para dispositivos não compatíveis | CMA_0062 - Configurar ações para dispositivos não compatíveis | Manual, Desativado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
Estabelecer uma placa de controle de configuração | CMA_0254 - Estabelecer uma placa de controle de configuração | Manual, Desativado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Verifique se 'Endereços de e-mail adicionais' está configurado com um e-mail de contato de segurança
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.13 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As subscrições devem ter um endereço de e-mail de contacto para questões de segurança | Para garantir que as pessoas relevantes na sua organização sejam notificadas quando houver uma potencial violação de segurança numa das suas subscrições, defina um contacto de segurança para receber notificações por correio eletrónico do Centro de Segurança. | AuditIfNotExists, desativado | 1.0.1 |
Certifique-se de que 'Notificar alertas com a seguinte gravidade' está definido como 'Alto'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.14 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
A notificação por e-mail para alertas de alta gravidade deve ser ativada | Para garantir que as pessoas relevantes em sua organização sejam notificadas quando houver uma possível violação de segurança em uma de suas assinaturas, habilite as notificações por e-mail para alertas de alta gravidade na Central de Segurança. | AuditIfNotExists, desativado | 1.2.0 |
Verifique se o Microsoft Defender for App Service está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender for App Service deve estar habilitado | O Azure Defender for App Service aproveita a escala da nuvem e a visibilidade que o Azure tem como um provedor de nuvem para monitorar ataques comuns a aplicativos Web. | AuditIfNotExists, desativado | 1.0.3 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender para Bancos de Dados SQL do Azure está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os servidores do Banco de Dados SQL do Azure Defender for Azure devem ser habilitados | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender para servidores SQL em computadores está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Azure Defender para SQL servidores em máquinas deve ser habilitado | O Azure Defender para SQL fornece funcionalidade para revelar e mitigar possíveis vulnerabilidades de banco de dados, detetar atividades anômalas que podem indicar ameaças a bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists, desativado | 1.0.2 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender for Storage está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
O Microsoft Defender for Storage deve estar habilitado | O Microsoft Defender for Storage deteta ameaças potenciais às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e corrupção de dados. O novo plano do Defender for Storage inclui verificação de malware e deteção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta de armazenamento) para controle sobre a cobertura e os custos. | AuditIfNotExists, desativado | 1.0.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender para Kubernetes está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender for Container Registries está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Microsoft Defender for Containers deve estar habilitado | O Microsoft Defender for Containers fornece proteção, avaliação de vulnerabilidades e proteções em tempo de execução para seus ambientes Kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists, desativado | 1.0.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se o Microsoft Defender for Key Vault está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender for Key Vault deve ser habilitado | O Azure Defender for Key Vault fornece uma camada adicional de proteção e inteligência de segurança ao detetar tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas de cofre de chaves. | AuditIfNotExists, desativado | 1.0.3 |
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verifique se a integração do Microsoft Defender for Endpoint (WDATP) com o Microsoft Defender for Cloud está selecionada
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 2.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Detetar serviços de rede que não foram autorizados ou aprovados | CMA_C1700 - Detetar serviços de rede que não foram autorizados ou aprovados | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
3 Contas de armazenamento
Certifique-se de que 'Transferência segura necessária' está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
Verifique se o log de armazenamento está habilitado para o serviço de Blob para solicitações 'Ler', 'Gravar' e 'Excluir'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o log de armazenamento está habilitado para o serviço de tabela para solicitações 'Ler', 'Gravar' e 'Excluir'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se a "Versão mínima do TLS" está definida como "Versão 1.2"
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.12 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se as chaves de acesso da conta de armazenamento são regeneradas periodicamente
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Verifique se o log de armazenamento está habilitado para o serviço de fila para solicitações 'Ler', 'Gravar' e 'Excluir'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Certifique-se de que os tokens de assinatura de acesso compartilhado expirem dentro de uma hora
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
Encerrar sessão de usuário automaticamente | CMA_C1054 - Encerrar sessão de usuário automaticamente | Manual, Desativado | 1.1.0 |
Verifique se 'Nível de acesso público' está definido como Privado para contêineres de blob
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Verifique se a regra de acesso à rede padrão para contas de armazenamento está definida como Negar
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
As contas de armazenamento devem restringir o acesso à rede usando regras de rede virtual | Proteja suas contas de armazenamento contra ameaças potenciais usando regras de rede virtual como um método preferencial em vez da filtragem baseada em IP. A desativação da filtragem baseada em IP impede que IPs públicos acessem suas contas de armazenamento. | Auditoria, Negar, Desativado | 1.0.1 |
Verifique se os 'Serviços Confiáveis da Microsoft' estão habilitados para acesso à conta de armazenamento
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
As contas de armazenamento devem permitir o acesso a partir de serviços confiáveis da Microsoft | Alguns serviços da Microsoft que interagem com contas de armazenamento operam a partir de redes às quais não é possível conceder acesso através de regras de rede. Para ajudar esse tipo de serviço a funcionar como pretendido, permita que o conjunto de serviços confiáveis da Microsoft ignore as regras de rede. Esses serviços usarão autenticação forte para acessar a conta de armazenamento. | Auditoria, Negar, Desativado | 1.0.0 |
Garantir que o armazenamento de dados críticos seja criptografado com chaves gerenciadas pelo cliente
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 3.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
As contas de armazenamento devem usar a chave gerenciada pelo cliente para criptografia | Proteja sua conta de armazenamento de arquivos e blob com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando especifica uma chave gerida pelo cliente, essa chave é utilizada para proteger e controlar o acesso à chave que encripta os seus dados. O uso de chaves gerenciadas pelo cliente fornece recursos adicionais para controlar a rotação da chave de criptografia de chave ou apagar dados criptograficamente. | Auditoria, Desativado | 1.0.3 |
4 Serviços de Base de Dados
Certifique-se de que 'Auditoria' está definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se 'Criptografia de dados' está definido como 'Ativado' em um Banco de Dados SQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Garantir que a retenção de "auditoria" seja "superior a 90 dias"
ID: CIS Microsoft Azure Foundations Recomendação de referência 4.1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Os servidores SQL com auditoria para o destino da conta de armazenamento devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme se você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Isso às vezes é necessário para a conformidade com as normas regulamentares. | AuditIfNotExists, desativado | 3.0.0 |
Verifique se a ATP (Proteção Avançada contra Ameaças) em um SQL Server está definida como 'Habilitada'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Azure Defender for SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Audite servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists, desativado | 2.0.1 |
O Azure Defender for SQL deve ser habilitado para Instâncias Gerenciadas SQL desprotegidas | Audite cada instância gerenciada SQL sem segurança de dados avançada. | AuditIfNotExists, desativado | 1.0.2 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Verifique se a Avaliação de Vulnerabilidade (VA) está habilitada em um servidor SQL definindo uma Conta de Armazenamento
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
A avaliação de vulnerabilidade deve ser habilitada na Instância Gerenciada SQL | Audite cada Instância Gerenciada do SQL que não tenha verificações recorrentes de avaliação de vulnerabilidades habilitadas. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 1.0.1 |
A avaliação de vulnerabilidade deve ser habilitada em seus servidores SQL | Audite os servidores SQL do Azure que não têm a avaliação de vulnerabilidades configurada corretamente. A avaliação de vulnerabilidades pode descobrir, rastrear e ajudá-lo a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 3.0.0 |
Certifique-se de que a configuração VA 'Verificações periódicas recorrentes' como 'on' para cada servidor SQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Verifique se a configuração VA 'Enviar relatórios de verificação para' está configurada para um servidor SQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Verifique se a configuração de avaliação de vulnerabilidade 'Também enviar notificações por email para administradores e proprietários de assinaturas' está definida para cada SQL Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.2.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacione informações de verificação de vulnerabilidade | CMA_C1558 - Correlacione informações de verificação de vulnerabilidade | Manual, Desativado | 1.1.1 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Verifique se 'Enforce SSL connection' está definido como 'ENABLED' para o PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Impor conexão SSL deve ser habilitado para servidores de banco de dados PostgreSQL | O Banco de Dados do Azure para PostgreSQL dá suporte à conexão do seu Banco de Dados do Azure para servidor PostgreSQL a aplicativos cliente usando SSL (Secure Sockets Layer). A imposição de conexões SSL entre o servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques "man in the middle", criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL esteja sempre habilitado para acessar o servidor de banco de dados. | Auditoria, Desativado | 1.0.1 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se o parâmetro do servidor 'log_checkpoints' está definido como 'ON' para o servidor de banco de dados PostgreSQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Os pontos de verificação de log devem ser habilitados para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_checkpoints configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o parâmetro do servidor 'log_connections' está definido como 'ON' para o PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
As conexões de log devem ser habilitadas para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_connections configuração habilitada. | AuditIfNotExists, desativado | 1.0.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o parâmetro do servidor 'log_disconnections' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
As desconexões devem ser registradas para servidores de banco de dados PostgreSQL. | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem log_disconnections habilitado. | AuditIfNotExists, desativado | 1.0.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o parâmetro do servidor 'connection_throttling' está definido como 'ON' para o Servidor de Banco de Dados PostgreSQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
A limitação de conexão deve ser habilitada para servidores de banco de dados PostgreSQL | Esta política ajuda a auditar qualquer banco de dados PostgreSQL em seu ambiente sem a limitação de conexão habilitada. Essa configuração permite a limitação temporária de conexão por IP para muitas falhas de login de senha inválidas. | AuditIfNotExists, desativado | 1.0.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o parâmetro do servidor 'log_retention_days' é superior a 3 dias para o PostgreSQL Database Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Verifique se 'Permitir acesso aos serviços do Azure' para o Servidor de Banco de Dados PostgreSQL está desabilitado
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
Verifique se 'Criptografia dupla de infraestrutura' para o servidor de banco de dados PostgreSQL está 'Habilitado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.3.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Verifique se 'Enforce SSL connection' está definido como 'Enabled' para o Standard MySQL Database Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.4.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se 'Versão TLS' está definida como 'TLSV1.2' para o servidor de banco de dados flexível MySQL
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.4.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se o administrador do Ative Directory do Azure está configurado
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Verifique se o protetor TDE do servidor SQL está criptografado com a chave gerenciada pelo cliente
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 4.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
As instâncias gerenciadas pelo SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.0 |
Os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | A implementação da Criptografia de Dados Transparente (TDE) com sua própria chave proporciona maior transparência e controle sobre o Protetor TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Esta recomendação aplica-se a organizações com um requisito de conformidade relacionado. | Auditoria, Negar, Desativado | 2.0.1 |
5 Registo e monitorização
Verifique se existe uma 'Configuração de diagnóstico'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Garantir que a Configuração de Diagnóstico capture as categorias apropriadas
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o contêiner de armazenamento que armazena os logs de atividades não está acessível publicamente
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Pré-visualização]: O acesso público à conta de armazenamento não deve ser permitido | O acesso público de leitura anônimo a contêineres e blobs no Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos de segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, a Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário exija. | auditoria, auditoria, negar, negar, desativado, desativado | 3.1.0-Pré-visualização |
Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
Verifique se a conta de armazenamento que contém o contêiner com registros de atividades está criptografada com BYOK (Use Your Own Key)
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
Manter a integridade do sistema de auditoria | CMA_C1133 - Manter a integridade do sistema de auditoria | Manual, Desativado | 1.1.0 |
Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
A conta de armazenamento que contém o contêiner com registros de atividades deve ser criptografada com BYOK | Esta política audita se a conta de armazenamento que contém o contêiner com logs de atividade está criptografada com BYOK. A política só funciona se a conta de armazenamento estiver na mesma assinatura que os logs de atividade por design. Mais informações sobre a criptografia do Armazenamento do Azure em repouso podem ser encontradas aqui https://aka.ms/azurestoragebyok. | AuditIfNotExists, desativado | 1.0.0 |
Verifique se o registro em log do Azure KeyVault está 'Habilitado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.1.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Registro de Atividades existe para Criar Atribuição de Política
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações de Política específicas | Esta política audita operações de política específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 3.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se existe um Alerta de Registro de Atividades para Excluir Atribuição de Política
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações de Política específicas | Esta política audita operações de política específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 3.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Log de Atividades existe para Criar ou Atualizar Grupo de Segurança de Rede
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Registro de Atividades existe para Excluir Grupo de Segurança de Rede
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Log de Atividades existe para Criar ou Atualizar Grupo de Segurança de Rede
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se existe um alerta de log de atividades para a Regra Excluir Grupo de Segurança de Rede
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Registro de Atividades existe para Criar ou Atualizar Solução de Segurança
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações de segurança específicas | Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se o Alerta de Registro de Atividades existe para Excluir Solução de Segurança
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações de segurança específicas | Esta política audita operações de segurança específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Verifique se existe um alerta de log de atividades para criar, atualizar ou excluir a regra de firewall do SQL Server
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.2.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
Deve existir um alerta de registo de atividades para operações administrativas específicas | Esta política audita operações administrativas específicas sem alertas de registro de atividades configurados. | AuditIfNotExists, desativado | 1.0.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
Certifique-se de que os logs de diagnóstico estejam habilitados para todos os serviços que oferecem suporte a ele.
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 5.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Ativação de auditoria de logs de recursos no aplicativo. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Os logs de recursos no Repositório Azure Data Lake devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Azure Stream Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em contas em lote devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Data Lake Analytics devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub de Eventos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Hub IoT devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 3.1.0 |
Os logs de recursos no Cofre da Chave devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividade para usar para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos em aplicativos lógicos devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.1.0 |
Os logs de recursos nos serviços de Pesquisa devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Os logs de recursos no Service Bus devem ser habilitados | Ativação de auditoria de logs de recursos. Isso permite que você recrie trilhas de atividades para usar para fins de investigação; quando ocorre um incidente de segurança ou quando a sua rede está comprometida | AuditIfNotExists, desativado | 5.0.0 |
Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
6 Ligação em rede
Certifique-se de que nenhum Banco de Dados SQL permita a entrada 0.0.0.0/0 (QUALQUER IP)
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
Verifique se o período de retenção do Log de Fluxo do Grupo de Segurança de Rede é "superior a 90 dias"
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Verifique se o Inspetor de Rede está 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 6.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
O Inspetor de Rede deve estar ativado | O Inspetor de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede no, para e do Azure. O monitoramento no nível do cenário permite diagnosticar problemas em uma visualização de nível de rede de ponta a ponta. É necessário ter um grupo de recursos de observador de rede a ser criado em cada região onde uma rede virtual está presente. Um alerta será ativado se um grupo de recursos do inspetor de rede não estiver disponível em uma região específica. | AuditIfNotExists, desativado | 3.0.0 |
Verificar funções de segurança | CMA_C1708 - Verificar funções de segurança | Manual, Desativado | 1.1.0 |
7 Máquinas Virtuais
Verifique se as máquinas virtuais estão utilizando discos gerenciados
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Certifique-se de que os discos de 'SO e Dados' estão encriptados com a Chave Gerida pelo Cliente (CMK)
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Verifique se os 'Discos não conectados' estão criptografados com CMK
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
Verifique se apenas as extensões aprovadas estão instaladas
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Somente extensões de VM aprovadas devem ser instaladas | Esta política rege as extensões de máquina virtual que não são aprovadas. | Auditoria, Negar, Desativado | 1.0.0 |
Certifique-se de que os patches mais recentes do sistema operacional para todas as máquinas virtuais sejam aplicados
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Verifique se a proteção de ponto de extremidade para todas as máquinas virtuais está instalada
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Verificar a integridade do software, firmware e informações | CMA_0542 - Verificar a integridade do software, firmware e informação | Manual, Desativado | 1.1.0 |
Certifique-se de que os VHDs estão criptografados
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 7.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
8 Outras considerações de segurança
Verifique se a Data de Validade está definida para todas as Chaves nos Cofres de Chaves RBAC
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Certifique-se de que a Data de Expiração está definida para todas as Chaves em Cofres de Chaves Não RBAC.
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
As chaves do Cofre da Chave devem ter uma data de expiração | As chaves criptográficas devem ter uma data de validade definida e não ser permanentes. As chaves que são válidas para sempre fornecem a um atacante em potencial mais tempo para comprometer a chave. É uma prática de segurança recomendada definir datas de expiração em chaves criptográficas. | Auditoria, Negar, Desativado | 1.0.2 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Verifique se a Data de Expiração está definida para todos os Segredos nos Cofres de Chaves RBAC
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Verifique se a Data de Expiração está definida para todos os Segredos em Cofres de Chaves Não RBAC
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Os segredos do Cofre de Chaves devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Segredos que são válidos para sempre fornecem a um atacante em potencial mais tempo para comprometê-los. É uma prática de segurança recomendada definir datas de validade em segredos. | Auditoria, Negar, Desativado | 1.0.2 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Certifique-se de que os bloqueios de recursos estão definidos para recursos de missão crítica do Azure
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
Verifique se o cofre de chaves é recuperável
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os cofres de chaves devem ter a proteção contra exclusão ativada | A exclusão maliciosa de um cofre de chaves pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados ativando a proteção contra limpeza e a exclusão suave. A proteção contra limpeza protege você contra ataques internos, impondo um período de retenção obrigatório para cofres de chaves excluídos por software. Ninguém dentro da sua organização ou da Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão suave. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão suave habilitada por padrão. | Auditoria, Negar, Desativado | 2.1.0 |
Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
Habilitar o controle de acesso baseado em função (RBAC) nos Serviços Kubernetes do Azure
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 8.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
O RBAC (Controle de Acesso Baseado em Função) deve ser usado nos Serviços Kubernetes | Para fornecer filtragem granular sobre as ações que os usuários podem executar, use o RBAC (Controle de Acesso Baseado em Função) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria, Desativado | 1.0.4 |
9 AppService
Verifique se a Autenticação do Serviço de Aplicativo está configurada para aplicativos no Serviço de Aplicativo do Azure
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.1 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Web. | AuditIfNotExists, desativado | 2.0.1 |
Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Função ou autenticar aqueles que têm tokens antes de chegarem ao aplicativo Função. | AuditIfNotExists, desativado | 3.0.0 |
Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
Verifique se as implantações de FTP estão desabilitadas
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.10 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se os cofres do Azure são usados para armazenar segredos
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.11 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração | CMA_C1199 - Garantir que os mecanismos criptográficos estejam sob gerenciamento de configuração | Manual, Desativado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
Manter a disponibilidade das informações | CMA_C1644 - Manter a disponibilidade da informação | Manual, Desativado | 1.1.0 |
Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
Garantir que o Aplicativo Web redirecione todo o tráfego HTTP para HTTPS no Serviço de Aplicativo do Azure
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.2 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se o Web App está usando a versão mais recente da criptografia TLS
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.3 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.1.0 |
Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
Verifique se o aplicativo Web tem 'Certificados de cliente (certificados de cliente de entrada)' definido como 'Ativado'
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.4 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Preterido]: Os aplicativos de função devem ter 'Certificados de cliente (certificados de cliente de entrada)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente clientes com certificados válidos poderão acessar o aplicativo. Esta política foi substituída por uma nova política com o mesmo nome porque Http 2.0 não suporta certificados de cliente. | Auditoria, Desativado | 3.1.0-preterido |
Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
Verifique se Registrar no Azure Ative Directory está habilitado no Serviço de Aplicativo
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.5 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
Certifique-se de que a 'versão PHP' é a mais recente, se usada para executar o aplicativo Web
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.6 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Certifique-se de que a 'versão Python' é a versão estável mais recente, se usada para executar o aplicativo Web
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.7 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Certifique-se de que a 'versão Java' é a mais recente, se usada para executar o Web App
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.8 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Certifique-se de que 'Versão HTTP' é a mais recente, se usada para executar o aplicativo Web
ID: CIS Microsoft Azure Foundations Recomendação de benchmark 9.9 Propriedade: Compartilhada
Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.