Dela via


Information om CIS Microsoft Azure Foundations Benchmark 1.3.0 Inbyggt initiativ för regelefterlevnad

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i CIS Microsoft Azure Foundations Benchmark 1.3.0. Mer information om den här efterlevnadsstandarden finns i CIS Microsoft Azure Foundations Benchmark 1.3.0. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar är till CIS Microsoft Azure Foundations Benchmark 1.3.0-kontroller . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen CIS Microsoft Azure Foundations Benchmark v1.3.0 Regulatory Compliance.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

1 Identitets- och åtkomsthantering

Kontrollera att multifaktorautentisering är aktiverat för alla privilegierade användare

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.10 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0

Se till att "Användare kan registrera program" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.11 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0

Kontrollera att "Behörigheter för gästanvändare är begränsade" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.12 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0

Se till att "Medlemmar kan bjuda in" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.13 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0

Kontrollera att "Gäster kan bjuda in" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.14 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0

Se till att "Begränsa åtkomsten till Azure AD-administrationsportalen" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.15 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0

Se till att "Begränsa användarens möjlighet att komma åt gruppfunktioner i åtkomstfönstret" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.16 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Se till att "Användare kan skapa säkerhetsgrupper i Azure Portals" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.17 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Kontrollera att "Ägare kan hantera begäranden om gruppmedlemskap i Åtkomstpanelen" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.18 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Se till att "Användare kan skapa Microsoft 365-grupper i Azure Portals" är inställt på "Nej"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.19 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Kontrollera att multifaktorautentisering är aktiverat för alla icke-privilegierade användare

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0

Se till att "Kräv Multi-Factor Auth för att ansluta enheter" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.20 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.1.0
Dokumentera mobilitetsträning CMA_0191 – Utbildning i dokumentmobilitet Manuell, inaktiverad 1.1.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.1.0
Identifiera och autentisera nätverksenheter CMA_0296 – Identifiera och autentisera nätverksenheter Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser Manuell, inaktiverad 1.1.0
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.1.0
Uppfylla kvalitetskraven för token CMA_0487 – Uppfylla kvalitetskraven för token Manuell, inaktiverad 1.1.0

Kontrollera att inga ägarroller för anpassade prenumerationer har skapats

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.21 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Kontrollera att säkerhetsstandarder är aktiverade i Azure Active Directory

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.22 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0
Autentisera till kryptografisk modul CMA_0021 – Autentisera till kryptografisk modul Manuell, inaktiverad 1.1.0
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.1.0
Dokumentera mobilitetsträning CMA_0191 – Utbildning i dokumentmobilitet Manuell, inaktiverad 1.1.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.1.0
Identifiera och autentisera nätverksenheter CMA_0296 – Identifiera och autentisera nätverksenheter Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser Manuell, inaktiverad 1.1.0
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.1.0
Uppfylla kvalitetskraven för token CMA_0487 – Uppfylla kvalitetskraven för token Manuell, inaktiverad 1.1.0

Se till att anpassad roll har tilldelats för att administrera resurslås

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.23 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Se till att gästanvändare granskas varje månad

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Tilldela om eller ta bort användarbehörigheter efter behov CMA_C1040 – Tilldela om eller ta bort användarbehörigheter efter behov Manuell, inaktiverad 1.1.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.1.0
Granska användarkonton CMA_0480 – Granska användarkonton Manuell, inaktiverad 1.1.0
Granska användarbehörigheter CMA_C1039 – Granska användarbehörigheter Manuell, inaktiverad 1.1.0

Se till att "Tillåt användare att komma ihåg multifaktorautentisering på enheter som de litar på" är "Inaktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0
Identifiera och autentisera nätverksenheter CMA_0296 – Identifiera och autentisera nätverksenheter Manuell, inaktiverad 1.1.0
Uppfylla kvalitetskraven för token CMA_0487 – Uppfylla kvalitetskraven för token Manuell, inaktiverad 1.1.0

Se till att "Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation" inte är inställt på "0"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.1.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.1.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.1.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.1.0

Se till att "Meddela användare om lösenordsåterställning?" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.1.0
Implementera utbildning för att skydda autentiserare CMA_0329 – Implementera utbildning för att skydda autentiserare Manuell, inaktiverad 1.1.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.1.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.1.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.1.0

Se till att "Meddela alla administratörer när andra administratörer återställer sitt lösenord?" är inställt på "Ja"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.8 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.1.0
Implementera utbildning för att skydda autentiserare CMA_0329 – Implementera utbildning för att skydda autentiserare Manuell, inaktiverad 1.1.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.1.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.1.0
Övervaka privilegierad rolltilldelning CMA_0378 – Övervaka privilegierad rolltilldelning Manuell, inaktiverad 1.1.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.1.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.1.0
Använda privilegierad identitetshantering CMA_0533 – Använda privilegierad identitetshantering Manuell, inaktiverad 1.1.0

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 1.9 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0

2 Security Center

Kontrollera att Azure Defender är inställt på På för servrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Se till att McAS-integrering (Microsoft Cloud App Security) med Security Center har valts

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.10 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Se till att "Automatisk etablering av övervakningsagenten" är inställd på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.11 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Dokumentsäkerhetsåtgärder CMA_0202 – Dokumentsäkerhetsåtgärder Manuell, inaktiverad 1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning Manuell, inaktiverad 1.1.0

Kontrollera att någon av STANDARDprincipinställningen för ASC inte är inställd på "Inaktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.12 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konfigurera åtgärder för inkompatibla enheter CMA_0062 – Konfigurera åtgärder för inkompatibla enheter Manuell, inaktiverad 1.1.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.1.0
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.1.0
Upprätta en kontrolltavla för konfiguration CMA_0254 – Upprätta en kontrolltavla för konfiguration Manuell, inaktiverad 1.1.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.1.0
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.1.0

Kontrollera att "Ytterligare e-postadresser" har konfigurerats med en e-post för säkerhetskontakter

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.13 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Se till att "Meddela om aviseringar med följande allvarlighetsgrad" är inställt på "Hög"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.14 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0

Kontrollera att Azure Defender är inställt på På för App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för Azure SQL-databasservrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för SQL-servrar på datorer

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för lagring

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för Kubernetes

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för containerregister

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Azure Defender är inställt på På för Key Vault

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.8 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

Kontrollera att Windows Defender ATP-integrering (WDATP) med Security Center har valts

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 2.9 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0

3 lagringskonton

Kontrollera att "Säker överföring krävs" är inställd på "Aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0

Kontrollera att lagringsloggning är aktiverat för Blob-tjänsten för läs-, skriv- och borttagningsbegäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.10 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Konfigurera Azure-granskningsfunktioner CMA_C1108 – Konfigurera Azure Audit-funktioner Manuell, inaktiverad 1.1.1
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att lagringsloggning är aktiverat för Table-tjänsten för läs-, skriv- och borttagningsbegäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.11 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Konfigurera Azure-granskningsfunktioner CMA_C1108 – Konfigurera Azure Audit-funktioner Manuell, inaktiverad 1.1.1
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Se till att lagringskontots åtkomstnycklar återskapas regelbundet

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.1.0
Definiera kryptografisk användning CMA_0120 – Definiera kryptografisk användning Manuell, inaktiverad 1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar Manuell, inaktiverad 1.1.0
Fastställa krav för försäkran CMA_0136 – Fastställa kontrollkrav Manuell, inaktiverad 1.1.0
Utfärda certifikat för offentlig nyckel CMA_0347 – Utfärda certifikat för offentlig nyckel Manuell, inaktiverad 1.1.0
Hantera symmetriska kryptografiska nycklar CMA_0367 – Hantera symmetriska kryptografiska nycklar Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.1.0

Kontrollera att lagringsloggning är aktiverat för kötjänsten för läs-, skriv- och borttagningsbegäranden

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Konfigurera Azure-granskningsfunktioner CMA_C1108 – Konfigurera Azure Audit-funktioner Manuell, inaktiverad 1.1.1
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Se till att signaturtoken för delad åtkomst upphör att gälla inom en timme

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Inaktivera autentiserare vid avslutning CMA_0169 – Inaktivera autentisering vid avslutning Manuell, inaktiverad 1.1.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.1.0
Avsluta användarsession automatiskt CMA_C1054 – Avsluta användarsessionen automatiskt Manuell, inaktiverad 1.1.0

Se till att "offentlig åtkomstnivå" är inställd på Privat för blobcontainrar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0

Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på att neka

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Lagringskonton bör begränsa nätverksåtkomsten Nätverksåtkomst till lagringskonton bör begränsas. Konfigurera nätverksregler så att endast program från tillåtna nätverk kan komma åt lagringskontot. För att tillåta anslutningar från specifika Internet- eller lokala klienter kan åtkomst beviljas till trafik från specifika virtuella Azure-nätverk eller till offentliga IP-adressintervall för Internet Granska, neka, inaktiverad 1.1.1
Lagringskonton bör begränsa nätverksåtkomsten med hjälp av regler för virtuella nätverk Skydda dina lagringskonton mot potentiella hot med hjälp av regler för virtuella nätverk som en önskad metod i stället för IP-baserad filtrering. Om du inaktiverar IP-baserad filtrering hindras offentliga IP-adresser från att komma åt dina lagringskonton. Granska, neka, inaktiverad 1.0.1

Kontrollera att "Betrodda Microsoft-tjänster" är aktiverat för åtkomst till lagringskonto

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.1.0
Identifiera och hantera informationsutbyten i underordnade led CMA_0298 – Identifiera och hantera informationsutbyten i nedströms Manuell, inaktiverad 1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. Granska, neka, inaktiverad 1.0.0

Se till att lagring för kritiska data krypteras med kundhanterad nyckel

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 3.9 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3

4 Databastjänster

Kontrollera att "Granskning" är inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Granskning på SQL-servern ska vara aktiverad Granskning på SQL Server bör aktiveras för att spåra databasaktiviteter över alla databaser på servern och spara dem i en granskningslogg. AuditIfNotExists, inaktiverad 2.0.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att "Datakryptering" är inställt på "På" i en SQL Database

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0
transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven AuditIfNotExists, inaktiverad 2.0.0

Se till att kvarhållningen av granskning är "större än 90 dagar"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Följ de definierade kvarhållningsperioderna CMA_0004 – Följ de kvarhållningsperioder som definierats Manuell, inaktiverad 1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.1.0
Behålla säkerhetsprinciper och procedurer CMA_0454 – Behålla säkerhetsprinciper och procedurer Manuell, inaktiverad 1.1.0
Behålla avslutade användardata CMA_0455 – Behåll avslutade användardata Manuell, inaktiverad 1.1.0
SQL-servrar med granskning till lagringskontomål ska konfigureras med kvarhållning på 90 dagar eller senare I incidentundersökningssyfte rekommenderar vi att du anger datakvarhållningen för SQL Server-granskning till lagringskontots mål till minst 90 dagar. Bekräfta att du uppfyller de nödvändiga kvarhållningsreglerna för de regioner där du arbetar. Detta krävs ibland för efterlevnad av regelstandarder. AuditIfNotExists, inaktiverad 3.0.0

Se till att Advanced Threat Protection (ATP) på en SQL-server är inställt på "Aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0

Kontrollera att sårbarhetsbedömning (VA) är aktiverat på en SQL-server genom att ange ett lagringskonto

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Kontrollera att VA-inställningen Periodiska återkommande genomsökningar är aktiverad på en SQL-server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Kontrollera att VA-inställningen Skicka genomsökningsrapporter till har konfigurerats för en SQL-server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Korrelera information om sårbarhetsgenomsökning CMA_C1558 – Korrelera information om sårbarhetsgenomsökning Manuell, inaktiverad 1.1.1
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att VA-inställningen "Skicka även e-postaviseringar till administratörer och prenumerationsägare" har angetts för en SQL-server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.2.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Korrelera information om sårbarhetsgenomsökning CMA_C1558 – Korrelera information om sårbarhetsgenomsökning Manuell, inaktiverad 1.1.1
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0

Se till att "Framtvinga SSL-anslutning" är inställt på "ENABLED" för MySQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0

Kontrollera att serverparametern "log_checkpoints" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Loggkontrollpunkter ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_checkpoints inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att serverparametern "log_connections" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Logganslutningar ska vara aktiverade för PostgreSQL-databasservrar Den här principen hjälper dig att granska postgreSQL-databaser i din miljö utan att log_connections inställningen är aktiverad. AuditIfNotExists, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att serverparametern "log_disconnections" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Frånkopplingar ska loggas för PostgreSQL-databasservrar. Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan log_disconnections aktiverat. AuditIfNotExists, inaktiverad 1.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att serverparametern "connection_throttling" är inställd på "ON" för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Anslutningsbegränsning ska vara aktiverat för PostgreSQL-databasservrar Den här principen hjälper dig att granska alla PostgreSQL-databaser i din miljö utan att anslutningsbegränsning har aktiverats. Den här inställningen möjliggör tillfällig anslutningsbegränsning per IP-adress för för många ogiltiga inloggningsfel för lösenord. AuditIfNotExists, inaktiverad 1.0.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att serverparametern "log_retention_days" är större än 3 dagar för PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Följ de definierade kvarhållningsperioderna CMA_0004 – Följ de kvarhållningsperioder som definierats Manuell, inaktiverad 1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.1.0
Behålla säkerhetsprinciper och procedurer CMA_0454 – Behålla säkerhetsprinciper och procedurer Manuell, inaktiverad 1.1.0
Behålla avslutade användardata CMA_0455 – Behåll avslutade användardata Manuell, inaktiverad 1.1.0

Se till att "Tillåt åtkomst till Azure-tjänster" för PostgreSQL Database Server är inaktiverat

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.3.8 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.1.0
Identifiera och hantera informationsutbyten i underordnade led CMA_0298 – Identifiera och hantera informationsutbyten i nedströms Manuell, inaktiverad 1.1.0

Kontrollera att Azure Active Directory-administratören är konfigurerad

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En Azure Active Directory-administratör bör etableras för SQL-servrar Granska etableringen av en Azure Active Directory-administratör för SQL-servern för att aktivera Azure AD-autentisering. Azure AD-autentisering möjliggör förenklad behörighetshantering och centraliserad identitetshantering för databasanvändare och andra Microsoft-tjänster AuditIfNotExists, inaktiverad 1.0.0
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.1.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.1.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.1.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.1.0

Kontrollera att SQL-serverns TDE-skydd är krypterat med kundhanterad nyckel

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 4.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1

5 Loggning och övervakning

Kontrollera att det finns en diagnostikinställning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0

Se till att diagnostikinställningen samlar in lämpliga kategorier

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Konfigurera Azure-granskningsfunktioner CMA_C1108 – Konfigurera Azure Audit-funktioner Manuell, inaktiverad 1.1.1
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Se till att lagringscontainern som lagrar aktivitetsloggarna inte är offentligt tillgänglig

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Offentlig åtkomst till lagringskontot bör inte tillåtas Anonym offentlig läsåtkomst till containrar och blobar i Azure Storage är ett bekvämt sätt att dela data men kan medföra säkerhetsrisker. För att förhindra dataintrång som orsakas av oönstrade anonym åtkomst rekommenderar Microsoft att du förhindrar offentlig åtkomst till ett lagringskonto om inte ditt scenario kräver det. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Aktivera dubbel eller gemensam auktorisering CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering Manuell, inaktiverad 1.1.0
Skydda granskningsinformation CMA_0401 – Skydda granskningsinformation Manuell, inaktiverad 1.1.0

Kontrollera att lagringskontot som innehåller containern med aktivitetsloggar är krypterat med BYOK (Använd din egen nyckel)

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aktivera dubbel eller gemensam auktorisering CMA_0226 – Aktivera dubbelt eller gemensamt auktorisering Manuell, inaktiverad 1.1.0
Upprätthålla integriteten i granskningssystemet CMA_C1133 – Upprätthålla integriteten i granskningssystemet Manuell, inaktiverad 1.1.0
Skydda granskningsinformation CMA_0401 – Skydda granskningsinformation Manuell, inaktiverad 1.1.0
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. AuditIfNotExists, inaktiverad 1.0.0

Kontrollera att loggning för Azure KeyVault är "Aktiverad"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.1.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för att skapa principtilldelning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 3.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för borttagning av principtilldelning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 3.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för skapa eller uppdatera nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för Ta bort nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för regeln Skapa eller uppdatera nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggaviseringen finns för regeln Ta bort nätverkssäkerhetsgrupp

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera säkerhetslösningen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för ta bort säkerhetslösning

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.8 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att aktivitetsloggavisering finns för att skapa eller uppdatera eller ta bort SQL Server-brandväggsregeln

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.2.9 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Aviseringspersonal om informationsspill CMA_0007 – Avisera personal om informationsspill Manuell, inaktiverad 1.1.0
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0

Kontrollera att diagnostikloggar är aktiverade för alla tjänster som stöder det.

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 5.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Följ de definierade kvarhållningsperioderna CMA_0004 – Följ de kvarhållningsperioder som definierats Manuell, inaktiverad 1.1.0
App Service-appar ska ha resursloggar aktiverade Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. AuditIfNotExists, inaktiverad 2.0.1
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Konfigurera Azure-granskningsfunktioner CMA_C1108 – Konfigurera Azure Audit-funktioner Manuell, inaktiverad 1.1.1
Fastställa granskningsbara händelser CMA_0137 – Fastställa granskningsbara händelser Manuell, inaktiverad 1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.1.0
Resursloggar i Azure Data Lake Store ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Azure Stream Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Batch-konton ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Data Lake Analytics ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Händelsehubb ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 3.1.0
Resursloggar i Key Vault ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Logic Apps ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.1.0
Resursloggar i tjänsten Search ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Resursloggar i Service Bus ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsspår som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 5.0.0
Behålla säkerhetsprinciper och procedurer CMA_0454 – Behålla säkerhetsprinciper och procedurer Manuell, inaktiverad 1.1.0
Behålla avslutade användardata CMA_0455 – Behåll avslutade användardata Manuell, inaktiverad 1.1.0
Granska granskningsdata CMA_0466 – Granska granskningsdata Manuell, inaktiverad 1.1.0

6 Nätverk

Se till att inga SQL-databaser tillåter ingress 0.0.0.0/0 (IP-adresser)

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0

Se till att kvarhållningsperioden för nätverkssäkerhetsgruppflödesloggen är "större än 90 dagar"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Följ de definierade kvarhållningsperioderna CMA_0004 – Följ de kvarhållningsperioder som definierats Manuell, inaktiverad 1.1.0
Behålla säkerhetsprinciper och procedurer CMA_0454 – Behålla säkerhetsprinciper och procedurer Manuell, inaktiverad 1.1.0
Behålla avslutade användardata CMA_0455 – Behåll avslutade användardata Manuell, inaktiverad 1.1.0

Kontrollera att Network Watcher är "Aktiverat"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 6.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Verifiera säkerhetsfunktioner CMA_C1708 – Verifiera säkerhetsfunktioner Manuell, inaktiverad 1.1.0

7 virtuella datorer

Se till att virtuella datorer använder hanterade diskar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska virtuella datorer som inte använder hanterade diskar Den här principen granskar virtuella datorer som inte använder hanterade diskar granska 1.0.0
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

Kontrollera att os- och datadiskar är krypterade med CMK

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0

Kontrollera att "Ej anslutna diskar" är krypterade med CMK

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0

Se till att endast godkända tillägg är installerade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Endast godkända VM-tillägg ska installeras Den här principen styr de tillägg för virtuella datorer som inte är godkända. Granska, neka, inaktiverad 1.0.0

Se till att de senaste OS-korrigeringarna för alla virtuella datorer tillämpas

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att slutpunktsskyddet för alla virtuella datorer är installerat

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Dokumentsäkerhetsåtgärder CMA_0202 – Dokumentsäkerhetsåtgärder Manuell, inaktiverad 1.1.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Övervaka saknat Endpoint Protection i Azure Security Center Servrar utan installerad Endpoint Protection-agent övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning Manuell, inaktiverad 1.1.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0
Verifiera programvara, inbyggd programvara och informationsintegritet CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet Manuell, inaktiverad 1.1.0

Kontrollera att virtuella hårddiskar är krypterade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 7.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0

8 Andra säkerhetsöverväganden

Kontrollera att förfallodatumet har angetts för alla nycklar

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.1.0
Definiera kryptografisk användning CMA_0120 – Definiera kryptografisk användning Manuell, inaktiverad 1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar Manuell, inaktiverad 1.1.0
Fastställa krav för försäkran CMA_0136 – Fastställa kontrollkrav Manuell, inaktiverad 1.1.0
Utfärda certifikat för offentlig nyckel CMA_0347 – Utfärda certifikat för offentlig nyckel Manuell, inaktiverad 1.1.0
Key Vault-nycklar bör ha ett utgångsdatum Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. Granska, neka, inaktiverad 1.0.2
Hantera symmetriska kryptografiska nycklar CMA_0367 – Hantera symmetriska kryptografiska nycklar Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.1.0

Kontrollera att förfallodatumet har angetts för alla hemligheter

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.1.0
Definiera kryptografisk användning CMA_0120 – Definiera kryptografisk användning Manuell, inaktiverad 1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar Manuell, inaktiverad 1.1.0
Fastställa krav för försäkran CMA_0136 – Fastställa kontrollkrav Manuell, inaktiverad 1.1.0
Utfärda certifikat för offentlig nyckel CMA_0347 – Utfärda certifikat för offentlig nyckel Manuell, inaktiverad 1.1.0
Key Vault-hemligheter bör ha ett utgångsdatum Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. Granska, neka, inaktiverad 1.0.2
Hantera symmetriska kryptografiska nycklar CMA_0367 – Hantera symmetriska kryptografiska nycklar Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.1.0

Se till att resurslås har angetts för verksamhetskritiska Azure-resurser

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0

Kontrollera att nyckelvalvet kan återställas

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Nyckelvalv bör ha borttagningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. Granska, neka, inaktiverad 2.1.0
Underhålla tillgängligheten för information CMA_C1644 – Upprätthålla tillgängligheten för information Manuell, inaktiverad 1.1.0

Aktivera rollbaserad åtkomstkontroll (RBAC) i Azure Kubernetes Services

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 8.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.4

9 AppService

Kontrollera att App Service-autentisering har angetts i Azure App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar ska ha autentisering aktiverat Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. AuditIfNotExists, inaktiverad 2.0.1
Autentisera till kryptografisk modul CMA_0021 – Autentisera till kryptografisk modul Manuell, inaktiverad 1.1.0
Framtvinga användar unikhet CMA_0250 – Framtvinga användar unikhet Manuell, inaktiverad 1.1.0
Funktionsappar bör ha autentisering aktiverat Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. AuditIfNotExists, inaktiverad 3.0.0
Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter CMA_0507 – Stöd för autentiseringsuppgifter för personlig verifiering som utfärdats av juridiska myndigheter Manuell, inaktiverad 1.1.0

Kontrollera att FTP-distributioner är inaktiverade

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.10 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0

Se till att Azure Keyvaults används för att lagra hemligheter

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.11 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.1.0
Definiera kryptografisk användning CMA_0120 – Definiera kryptografisk användning Manuell, inaktiverad 1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar Manuell, inaktiverad 1.1.0
Fastställa krav för försäkran CMA_0136 – Fastställa kontrollkrav Manuell, inaktiverad 1.1.0
Se till att kryptografiska mekanismer är under konfigurationshantering CMA_C1199 – Se till att kryptografiska mekanismer är under konfigurationshantering Manuell, inaktiverad 1.1.0
Utfärda certifikat för offentlig nyckel CMA_0347 – Utfärda certifikat för offentlig nyckel Manuell, inaktiverad 1.1.0
Underhålla tillgängligheten för information CMA_C1644 – Upprätthålla tillgängligheten för information Manuell, inaktiverad 1.1.0
Hantera symmetriska kryptografiska nycklar CMA_0367 – Hantera symmetriska kryptografiska nycklar Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.1.0

Se till att webbappen omdirigerar all HTTP-trafik till HTTPS i Azure App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0

Kontrollera att webbappen använder den senaste versionen av TLS-kryptering

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0

Kontrollera att webbappen har "Klientcertifikat (inkommande klientcertifikat)" inställt på "På"

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
Autentisera till kryptografisk modul CMA_0021 – Autentisera till kryptografisk modul Manuell, inaktiverad 1.1.0

Se till att Registrera med Azure Active Directory är aktiverat i App Service

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Automatisera kontohantering CMA_0026 – Automatisera kontohantering Manuell, inaktiverad 1.1.0
Funktionsappar bör använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, inaktiverad 3.0.0
Hantera system- och administratörskonton CMA_0368 – Hantera system- och administratörskonton Manuell, inaktiverad 1.1.0
Övervaka åtkomst i hela organisationen CMA_0376 – Övervaka åtkomst i hela organisationen Manuell, inaktiverad 1.1.0
Meddela när kontot inte behövs CMA_0383 – Meddela när kontot inte behövs Manuell, inaktiverad 1.1.0

Se till att PHP-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att Python-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att Java-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.8 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Se till att HTTP-versionen är den senaste, om den används för att köra webbappen

ID: CIS Microsoft Azure Foundations Benchmark-rekommendation 9.9 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
App Service-appar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Funktionsappar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0

Nästa steg

Ytterligare artiklar om Azure Policy: