Встроенные определения Политики Azure для Microsoft Defender для облака
Эта страница представляет собой указатель встроенных определений политик в Политике Azure, связанных с Microsoft Defender для облака. Доступны следующие группы определений политик:
- Группа инициатив содержит определения инициатив Политики Azure в категории "Defender для облака".
- Группа инициатив по умолчанию перечисляет все определения Политика Azure, которые являются частью инициативы по умолчанию Defender для облака, microsoft cloud security benchmark. Этот широко используемый разработанный Майкрософт механизм тестирования основан на стандартах Центра интернет-безопасности (CIS) и Национального института стандартов и технологий (NIST) с ориентацией на облачную безопасность.
- Группа категорий содержит все определения Политики Azure в категории "Defender для облака".
Дополнительные сведения об использовании политик безопасности см. в статье Использование политик безопасности. Другие встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Инициативы Microsoft Defender для облака
В следующей таблице представлены сведения о встроенных инициативах, которые отслеживаются с помощью Defender для облака:
Имя | Описание | Политики | Версия |
---|---|---|---|
[Предварительная версия] Развертывание агента Microsoft Defender для конечной точки | Развертывание агента Microsoft Defender для конечной точки в соответствующих образах. | 4 | 1.0.0 (предварительная версия) |
Настройка включения Расширенной защиты от угроз для реляционных баз данных с открытым кодом | Включите Расширенную защиту от угроз для реляционных баз данных с открытым кодом небазового уровня, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или их использования. См. раздел https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Настройка включения Azure Defender на серверах SQL Server и Управляемых экземплярах SQL | Включение Azure Defender на серверах SQL Server и Управляемых экземплярах SQL Azure позволяет обнаруживать подозрительную активность, указывающую на необычные и потенциально опасные попытки доступа к базам данных или использования в них эксплойта. | 3 | 3.0.0 |
Настройка планов Microsoft Defender для облака | Microsoft Defender для облака предоставляет комплексные облачные средства защиты от разработки до среды выполнения в нескольких облачных средах. Используйте инициативу политики для настройки планов и расширений Defender для облака для включения выбранных областей. | 11 | 1.0.0 |
Настройка включения Microsoft Defender для баз данных | Настройте Microsoft Defender для Баз данных, чтобы защитить Базы данных SQL Azure, Управляемые экземпляры, Реляционные базы данных с открытым исходным кодом и Cosmos DB. | 4 | 1.0.0 |
Настройка нескольких параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака | Настройте несколько параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION и т. д.). См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | 3 | 1.0.0 |
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с рабочей областью LA | Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | 9 | 1.3.0 |
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | 8 | 1.2.0 |
Управление безопасностью в облаке Майкрософт | Инициатива microsoft cloud security benchmark представляет политики и элементы управления, реализующие рекомендации по безопасности, определенные в microsoft cloud security benchmark, см. в разделе https://aka.ms/azsecbm. Она также выступает в качестве инициативы политики по умолчанию для Microsoft Defender для облака. Вы можете напрямую назначить эту инициативу или управлять ее политиками и результатами соответствия в Microsoft Defender для облака. | 228 | 57.45.0 |
инициатива по умолчанию Defender для облака (microsoft cloud security benchmark)
В следующей таблице представлены сведения о встроенных политиках, которые отслеживаются с помощью Defender для облака:
Имя политики (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
[предварительная версия]: гибкий сервер Azure PostgreSQL должен включать только проверку подлинности Microsoft Entra | Отключение локальных методов проверки подлинности и разрешение только проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу Azure PostgreSQL исключительно удостоверениями Microsoft Entra. | Audit, Disabled | 1.0.0 (предварительная версия) |
[предварительная версия]: серверы Azure Stack HCI должны последовательно применять политики управления приложениями | Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех серверах Azure Stack HCI. Примененные политики управления приложениями Защитника Windows (WDAC) должны быть согласованы между серверами в одном кластере. | Audit, Disabled, AuditIfNotExists | 1.0.0 (предварительная версия) |
[предварительная версия]: серверы Azure Stack HCI должны соответствовать требованиям Secured-core | Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям secured-core. Чтобы включить требования к серверу Secured-core: 1. На странице кластеров Azure Stack HCI перейдите в Центр администрирования Windows и выберите "Подключиться". 2. Перейдите к расширению безопасности и выберите Secured-core. 3. Выберите любой параметр, который не включен, и нажмите кнопку "Включить". | Audit, Disabled, AuditIfNotExists | 1.0.0 (предварительная версия) |
[предварительная версия]: системы Azure Stack HCI должны иметь зашифрованные тома | Используйте BitLocker для шифрования томов ОС и данных в системах Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0 (предварительная версия) |
[Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | AuditIfNotExists, Disabled | 4.0.0 (предварительная версия) |
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. | AuditIfNotExists, Disabled | 3.1.0-preview |
[Предварительная версия]. Сеть узлов и виртуальных машин должна быть защищена в системах Azure Stack HCI | Защита данных в сети azure Stack HCI и подключений к сети виртуальной машины. | Audit, Disabled, AuditIfNotExists | 1.0.0 (предварительная версия) |
[предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
[Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Audit, Disabled | 4.0.0 (предварительная версия) |
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
[Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Audit, Disabled | 2.0.0-preview |
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Администратор Microsoft Entra должен быть подготовлен для серверов MySQL | Аудит подготовки администратора Microsoft Entra для сервера MySQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | AuditIfNotExists, Disabled | 1.1.1 |
Администратор Microsoft Entra должен быть подготовлен для серверов PostgreSQL | Аудит подготовки администратора Microsoft Entra для сервера PostgreSQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт | AuditIfNotExists, Disabled | 1.0.1 |
Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
Конечные точки API в Azure Управление API должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользующимися и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы azure Управление API, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
УПРАВЛЕНИЕ API API должны использовать только зашифрованные протоколы | Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS. | Audit, Disabled, Deny | 2.0.2 |
Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности | Вызовы из Управления API к серверным компонентам должны использовать аутентификацию с помощью сертификатов или учетных данных. Это не применяется к серверным компонентам Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени | Чтобы повысить безопасность API, Управление API должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. | Audit, Disabled, Deny | 1.0.2 |
Управление API конечная точка прямого управления не должна быть включена | REST API прямого управления в Azure Управление API передает механизмы управления доступом на основе ролей, авторизации и регулирования Azure Resource Manager, что повышает уязвимость службы. | Audit, Disabled, Deny | 1.0.2 |
В качестве минимальной версии API для Управления API должна быть установлена версия от 01.12.2019 или более поздняя | Чтобы запретить общий доступ к секретам служб пользователям с правами только для чтения, в качестве минимальной версии API должна быть установлена версия 2019-12-01 или более поздняя. | Audit, Deny, Disabled | 1.0.1 |
Управление API именованные значения секрета должны храниться в Azure Key Vault | Именованные значения — это коллекция пар имен и значений в каждой службе Управление API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность Управление API и секретов, сослаться на именованные значения секретов из Azure Key Vault. Azure Key Vault поддерживает детализированные политики управления доступом и смены секретов. | Audit, Disabled, Deny | 1.0.2 |
Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
Управление API должен отключить доступ к конечным точкам конфигурации службы общедоступной сети. | Чтобы повысить безопасность служб Управление API, ограничьте подключение к конечным точкам конфигурации службы, таким как API прямого управления доступом, конечная точка управления конфигурацией Git или конечная точка конфигурации локальных шлюзов. | AuditIfNotExists, Disabled | 1.0.1 |
Управление API подписки не должны быть ограничены всеми API | Управление API подписки должны быть ограничены продуктом или отдельным API вместо всех API, что может привести к чрезмерному воздействию данных. | Audit, Disabled, Deny | 1.1.0 |
Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Audit, Deny, Disabled | 2.2.0 |
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
Ресурсы служб искусственного интеллекта Azure должны использовать Приватный канал Azure | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в следующем: https://aka.ms/AzurePrivateLink/Overview | Audit, Disabled | 1.0.0 |
Версия платформы azure Управление API должна быть stv2 | Версия вычислительной платформы azure Управление API stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Audit, Deny, Disabled | 1.0.0 |
Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure | Расширение Политики Azure для Azure Arc обеспечивает согласованное и централизованное применение масштабных мер безопасности для кластеров Kubernetes с поддержкой Arc. Узнайте больше по адресу https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.1.0 |
Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Служба Azure Cosmos DB должна отключать доступ к общедоступным сетям | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ваша учетная запись Cosmos DB не будет представлен в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
Кластеры Azure Databricks должны отключить общедоступный IP-адрес | Отключение общедоступного IP-адреса кластеров в рабочих областях Azure Databricks повышает безопасность, гарантируя, что кластеры не предоставляются в общедоступном Интернете. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
Рабочие области Azure Databricks должны находиться в виртуальной сети | Azure виртуальная сеть обеспечивают повышенную безопасность и изоляцию для рабочих областей Azure Databricks, а также подсети, политики управления доступом и другие функции для дальнейшего ограничения доступа. См. дополнительные сведения: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
Для рабочих областей Azure Databricks должен быть отключен доступ из общедоступных сетей | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ресурс не будет представлен в общедоступном Интернете. Вместо этого можно управлять воздействием ресурсов, создавая частные конечные точки. См. дополнительные сведения: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
Рабочие области Azure Databricks должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с рабочими областями Azure Databricks, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
В кластерах Службы Azure Kubernetes должен быть включен профиль Defender | Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | Audit, Disabled | 2.0.1 |
Машинное обучение Azure вычислительных экземпляров необходимо повторно создать, чтобы получить последние обновления программного обеспечения | Убедитесь, что Машинное обучение Azure вычислительные экземпляры выполняются в последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Машинное обучение Azure вычисления должны находиться в виртуальной сети. | Azure виртуальная сеть обеспечивают повышенную безопасность и изоляцию для Машинное обучение Azure вычислительных кластеров и экземпляров, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. | Audit, Disabled | 1.0.1 |
Машинное обучение Azure вычисления должны иметь локальные методы проверки подлинности отключены | Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Машинное обучение вычисления требуют удостоверения Azure Active Directory исключительно для проверки подлинности. См. дополнительные сведения: https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.1.0 |
Машинное обучение Azure рабочие области должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Машинное обучение рабочие области не предоставляются в общедоступном Интернете. Вместо этого можно управлять воздействием рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
Гибкий сервер Azure MySQL должен включать только проверку подлинности Microsoft Entra | Отключение локальных методов проверки подлинности и разрешение только проверки подлинности Microsoft Entra повышает безопасность, обеспечивая доступ к гибкому серверу Azure MySQL исключительно удостоверениями Microsoft Entra. | AuditIfNotExists, Disabled | 1.0.1 |
В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | AuditIfNotExists, Disabled | 1.0.1 |
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | AuditIfNotExists, Disabled | 1.0.1 |
Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
Служба Azure Spring Cloud должна использовать внедрение сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии | Задав версию TLS 1.2 или более новую, вы усилите защиту, сделав Базу данных SQL Azure доступной только с клиентов, использующих TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. | Audit, Disabled, Deny | 2.0.0 |
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать, чтобы логические серверы SQL Azure использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
База данных SQL Azure должна быть включена проверка подлинности только для Microsoft Entra во время создания | Требовать, чтобы логические серверы SQL Azure создавались с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать Управляемый экземпляр SQL Azure для использования проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров SQL Azure с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
во время создания Управляемый экземпляр SQL Azure должна быть включена проверка подлинности только для Microsoft Entra | Требовать создания Управляемый экземпляр SQL Azure с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet | Audit, Deny, Disabled | 2.0.0 |
Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
Для учетных записей базы данных Cosmos DB локальные способы проверки подлинности должны быть отключены | Отключение локальных способов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют для проверки подлинности исключительно удостоверения Azure Active Directory. См. дополнительные сведения: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
Журналы диагностики в ресурсах служб ИИ Azure должны быть включены | Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.2.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.2.0 |
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.3.0 |
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Кластеры Kubernetes должны отключить учетные данные API автоподключения | Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN | Чтобы сократить направления атаки контейнеров, ограничьте возможности CAP_SYS_ADMIN в Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
Кластеры Kubernetes не должны использовать пространство имен по умолчанию | Запретите использовать пространство имен по умолчанию в кластерах Kubernetes для защиты от несанкционированного доступа для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы | Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, Disabled | 1.0.2 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и покрытие ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists, Disabled | 1.0.3 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Disabled | 1.0.0 |
Состояние Microsoft Defender для SQL должно быть защищено для СЕРВЕРОВ SQL с поддержкой Arc | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Audit, Disabled | 1.0.1 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Журналы ресурсов в рабочих областях Azure Databricks должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.1 |
Журналы ресурсов в Службе Azure Kubernetes должны быть включены | Журналы ресурсов Службы Azure Kubernetes позволяют восстановить порядок действий при расследовании инцидентов с безопасностью. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. | AuditIfNotExists, Disabled | 1.0.0 |
Журналы ресурсов в рабочих областях Машинное обучение Azure должны быть включены | Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. | AuditIfNotExists, Disabled | 1.0.1 |
В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
Автоматическая подготовка sql server, предназначенная для SQL Server, должна быть включена для серверов SQL server на компьютерах. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента Microsoft Monitoring Agent, так как этот компонент устарел. Подробнее: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Учетные записи хранения должны предотвращать доступ к общему ключу | Требование аудита Azure Active Directory (Azure AD) для авторизации запросов для вашей учетной записи хранения. По умолчанию запросы могут быть авторизованы с использованием учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации с общим ключом. Из этих двух типов авторизации именно Azure AD обеспечивает повышенную уровень безопасности и простоту использования по сравнению с общим ключом и рекомендуется корпорацией Майкрософт. | Audit, Deny, Disabled | 2.0.0 |
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Для рабочих областей Synapse должна быть включена проверка подлинности только для Microsoft Entra | Требовать, чтобы рабочие области Synapse использовали проверку подлинности только для Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
Рабочие области Synapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области | Требовать создание рабочих областей Synapse с помощью проверки подлинности только для Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. См. дополнительные сведения: https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.1 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
VPN-шлюзы должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть" | Отключение методов локальной проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзам потребуются для проверки подлинности только удостоверения Azure Active Directory. Дополнительные сведения о проверке подлинности Azure AD см. в статье, доступной по адресу https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant. | Audit, Deny, Disabled | 1.0.0 |
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. | Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует развертывания двух предварительных требований в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
Категория Microsoft Defender для облака
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Linux с поддержкой Arc | Установите агент безопасности Azure на компьютерах Linux с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Linux | Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Linux | Установите агент безопасности Azure на виртуальных машинах Linux, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Агент безопасности Azure должен быть установлен на компьютерах Windows с поддержкой Arc | Установите агент безопасности Azure на компьютерах Windows с поддержкой Arc, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Агент безопасности Azure должен быть установлен в масштабируемых наборах виртуальных машин Windows | Установите агент безопасности Azure в масштабируемых наборах виртуальных машин Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Предварительная версия]. Агент безопасности Azure должен быть установлен на виртуальных машинах Windows | Установите агент безопасности Azure на виртуальных машинах Windows, чтобы отслеживать конфигурации и уязвимости системы безопасности на компьютерах. Результаты оценки можно просматривать и администрировать в Центре безопасности Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
[Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на компьютерах Linux с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. В масштабируемых наборах виртуальных машин Linux должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. На компьютере Windows с поддержкой Arc должно быть установлено расширение ChangeTracking | Установите расширение ChangeTracking на виртуальных машинах Windows с поддержкой Arc, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На виртуальной машине Windows должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" на виртуальных машинах Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. В масштабируемых наборах виртуальных машин Windows должно быть установлено расширение "Отслеживание изменений" | Установите расширение "Отслеживание изменений" в масштабируемых наборах виртуальных машин Windows, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом мониторинга Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка агента Azure Defender для SQL на виртуальной машине | Настройка компьютеров Windows для автоматической установки агента Azure Defender для SQL, в котором установлен агент Azure Monitor. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, где находится компьютер. Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Настройте расширение ChangeTracking для компьютеров Linux с поддержкой Arc | Настройте компьютеры Linux с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Linux | Настройте масштабируемые наборы виртуальных машин Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Linux | Настройте виртуальные машины Linux для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройте расширение ChangeTracking для виртуальных машин Windows с поддержкой Arc | Настройте виртуальные машины Windows с поддержкой Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для масштабируемых наборов виртуальных машин Windows | Настройте масштабируемые наборы виртуальных машин Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка расширения "Отслеживание изменений" для виртуальных машин Windows | Настройте виртуальные машины Windows для автоматической установки расширения "Отслеживание изменений", чтобы включить мониторинг целостности файлов (FIM) в Центре безопасности Azure. FIM проверяет файлы операционной системы, реестры Windows, программное обеспечение, системные файлы Linux и другие файлы на наличие изменений, которые могут свидетельствовать об атаке. Расширение можно установить на виртуальных компьютерах и в расположениях, поддерживаемых агентом Azure Monitor. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure | Настройте соответствующие компьютеры Linux с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Linux с поддержкой Arc должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки агента безопасности Azure | Настройте соответствующие масштабируемые наборы виртуальных машин Linux для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 6.1.0-preview |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматического включения безопасной загрузки | Настройка поддерживаемых виртуальных машинах Linux позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | DeployIfNotExists, Disabled | 5.0.0-preview |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки агента безопасности Azure | Настройка автоматической установки агента безопасности Azure на поддерживаемых виртуальных машинах Linux. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 7.0.0-preview |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 7.1.0-preview |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин для автоматического включения vTPM | Настройка поддерживаемых виртуальных машин для автоматического включения vTPM. Он будет использоваться для измеряемой загрузки и других функций безопасности ОС, которым необходим модуль TPM. После включения vTPM можно использовать для проверки целостности загрузки. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройте автоматическую установку агента безопасности Azure на соответствующих компьютерах Windows с поддержкой Arc | Настройте соответствующие компьютеры Windows с поддержкой Arc для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые компьютеры Windows с поддержкой Arc должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Настройка поддерживаемых компьютеров Windows для автоматической установки агента безопасности Azure | Настройка автоматической установки агента безопасности Azure на поддерживаемых компьютерах с Windows. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые виртуальные машины должны находиться в поддерживаемом расположении. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки агента безопасности Azure | Настройте соответствующие масштабируемые наборы виртуальных машин Windows для автоматической установки агента безопасности Azure. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Целевые масштабируемые наборы виртуальных машин Windows должны находиться в соответствующем расположении. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Windows для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 4.1.0-preview |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматического включения безопасной загрузки | Настройка поддерживаемых виртуальных машинах Windows позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. | DeployIfNotExists, Disabled | 3.0.0 (предварительная версия) |
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Windows для автоматической установки расширения аттестации гостей | Настройка автоматической установки расширения аттестации гостей на поддерживаемых виртуальных машинах Windows, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 5.1.0-preview |
[Предварительная версия]. Настройка виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей | Настройте виртуальные машины, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 2.0.0-preview |
[Предварительная версия]. Настройка масштабируемых наборов виртуальных машин, созданных с помощью образов из общей коллекции образов, для установки расширения аттестации гостей | Настройте масштабируемые наборы виртуальных машин, созданные с помощью образов из общей коллекции образов, для автоматической установки расширения аттестации гостей, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. | DeployIfNotExists, Disabled | 2.1.0-preview |
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux | Развертывает агент Microsoft Defender для конечной точки на гибридных компьютерах Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux | Развертывает агент Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Linux. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc | Развертывает агент Microsoft Defender для конечной точки на компьютерах Windows с поддержкой Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Предварительная версия]. Развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows | Развертывает Microsoft Defender для конечной точки в соответствующих образах виртуальных машин Windows. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
[Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. | AuditIfNotExists, Disabled | 6.0.0-preview |
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. | AuditIfNotExists, Disabled | 5.1.0-preview |
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых виртуальных машинах, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | AuditIfNotExists, Disabled | 4.0.0 (предварительная версия) |
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей | Установка расширения аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы Центр безопасности Azure мог осуществлять профилактическую оценку и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Windows. | AuditIfNotExists, Disabled | 3.1.0-preview |
[предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки | Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака обнаружил ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. Виртуальные машины Linux должны использовать безопасную загрузку | Для защиты от установки rootkit-программ и комплектов загрузки на основе вредоносного ПО и буткитов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux, на которых установлен агент Azure Monitor. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки | Условия использования Azure запрещают использование служб Azure способом, который может привести к повреждению, отключению, перегрузке или затруднению использования любого сервера Майкрософт или сети. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка | Включение безопасной загрузки на поддерживаемых виртуальных машинах Windows помогает предотвратить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Windows. | Audit, Disabled | 4.0.0 (предварительная версия) |
[Предварительная версия]. Аттестация гостя виртуальных машин должна находиться в работоспособном состоянии | Аттестация гостя выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для выявления компромиссов в цепочке загрузки, которая может быть результатом заражения буткитом или руткитом. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. | AuditIfNotExists, Disabled | 1.0.0 (предварительная версия) |
[Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM | Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. | Audit, Disabled | 2.0.0-preview |
Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
Конечные точки API в Azure Управление API должны проходить проверку подлинности | Конечные точки API, опубликованные в Azure Управление API, должны применять проверку подлинности, чтобы свести к минимуму риск безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и получать доступ к данным. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
Конечные точки API, неиспользуемые, должны быть отключены и удалены из службы azure Управление API | В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользующимися и должны быть удалены из службы azure Управление API. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы azure Управление API, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, Disabled | 3.0.1 |
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для реляционных баз данных с открытым кодом должен быть включен | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL | Аудит гибких серверов MySQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL | Аудит гибких серверов PostgreSQL без расширенной безопасности данных | AuditIfNotExists, Disabled | 1.0.0 |
Образы контейнеров реестра Azure должны иметь устраненные уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | AuditIfNotExists, Disabled | 1.0.1 |
У запущенных образов контейнеров Azure должны быть устранены уязвимости (на базе Управление уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | AuditIfNotExists, Disabled | 1.0.1 |
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены | Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. | AuditIfNotExists, Disabled | 1.0.0 |
Для экземпляров ролей облачных служб (расширенная поддержка) должно быть установлено решение Endpoint Protection | Защитите экземпляры ролей облачных служб (расширенная поддержка) от угроз и уязвимостей, установив для них решение Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы | Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. | AuditIfNotExists, Disabled | 1.0.0 |
Настройка расширенной защиты от угроз в базе данных Azure для гибких серверов MySQL | Включите Расширенную защиту от угроз в базе данных Azure для гибких серверов MySQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка расширенной защиты от угроз для гибких серверов базы данных Azure для PostgreSQL | Включите Расширенную защиту от угроз в базе данных Azure для гибких серверов PostgreSQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. | DeployIfNotExists, Disabled | 1.1.0 |
Настройка SQL Server с поддержкой Arc для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor на серверах SQL с поддержкой Windows Arc. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL | Настройте SQL Server с поддержкой Windows Arc для автоматической установки агента Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | DeployIfNotExists, Disabled | 1.2.0 |
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.5.0 |
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | DeployIfNotExists, Disabled | 1.7.0 |
Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для DCR | Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | DeployIfNotExists, Disabled | 1.1.0 |
Настройка SQL Server с поддержкой Arc с сопоставлением правил сбора данных в Microsoft Defender для SQL, определяемой пользователем DCR | Настройте связь между серверами SQL с поддержкой Arc и определяемым пользователем DCR в Microsoft Defender для SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. | DeployIfNotExists, Disabled | 1.3.0 |
Возможность настройки Azure Defender для Службы приложений должна быть доступна | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | DeployIfNotExists, Disabled | 1.0.1 |
Возможность настройки Azure Defender для базы данных SQL Azure должна быть доступна | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | DeployIfNotExists, Disabled | 1.0.1 |
Настройте Azure Defender для включения реляционных баз данных с открытым кодом | Azure Defender для реляционных баз данных с открытым кодом выявляет аномальную активность, указывающую на нетипичные и потенциально опасные попытки доступа к базам данных или проникновение в них с помощью эксплойтов. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. здесь: https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.0.0 |
Возможность настройки Azure Defender для Resource Manager должна быть доступна | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | DeployIfNotExists, Disabled | 1.1.0 |
Возможность настройки Azure Defender для серверов должна быть доступна | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | DeployIfNotExists, Disabled | 1.0.1 |
Настройка включения Azure Defender для серверов SQL Server на компьютерах | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | DeployIfNotExists, Disabled | 1.0.1 |
Настройка базовой версии Microsoft Defender для хранилища (только для мониторинга активности) | Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает базовые возможности Defender для хранилища (мониторинг активности). Чтобы включить полную защиту, которая также включает в себя проверку вредоносных программ и обнаружение угроз конфиденциальной информации, используйте полную политику включения: aka.ms/DefenderForStoragePolicy. Дополнительные сведения о возможностях и преимуществах Defender для хранилища см. в aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
Настройка компьютеров для получения поставщика оценки уязвимостей | Azure Defender предоставляет возможность выполнять проверку уязвимостей компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. После включения этой политики Azure Defender автоматически развернет поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, на которых он еще не установлен. | DeployIfNotExists, Disabled | 4.0.0 |
Настройка плана CSPM в Microsoft Defender | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка включения плана Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | DeployIfNotExists, Disabled | 1.0.2 |
Выполните настройку, чтобы включить Microsoft Defender для Azure Cosmos DB | Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка плана Microsoft Defender для контейнеров | Новые возможности постоянно добавляются в план Defender для контейнеров, который может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. | DeployIfNotExists, Disabled | 1.0.0 |
Настроить включение Microsoft Defender для контейнеров | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | DeployIfNotExists, Disabled | 1.0.1 |
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_EXCLUDE_LINUX...) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_EXCLUDE_LINUX_...) для включения автоматической подготовки MDE для серверов Linux. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP_UNIFIED_SOLUTION) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известный как WDATP_UNIFIED_SOLUTION) для включения автоматической подготовки единого агента MDE для Windows Server 2012R2 и 2016. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP) | Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известном как WDATP) для компьютеров с нижней версией Windows, подключенных к MDE через MMA, и автоматическую подготовку MDE в Windows Server 2019, виртуальном рабочем столе Windows и более поздних версиях. Необходимо включить, чтобы другие параметры (WDATP_UNIFIED и т. д.) работали. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка плана Microsoft Defender для Key Vault | Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | DeployIfNotExists, Disabled | 1.1.0 |
Настройка плана Microsoft Defender для серверов | Новые возможности постоянно добавляются в Defender для серверов, что может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка включения Microsoft Defender для SQL в рабочих областях Synapse | Включите Microsoft Defender для SQL в рабочих областях Azure Synapse для обнаружения подозрительной активности, указывающей на необычные и потенциально вредоносные попытки доступа к базам данных SQL и их использования. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка Microsoft Defender для хранилища (классической) для включения | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | DeployIfNotExists, Disabled | 1.0.2 |
Настройка Microsoft Defender для хранилища для включения | Microsoft Defender для службы хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает все возможности Defender для хранилища; Мониторинг активности, сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Дополнительные сведения о возможностях и преимуществах Defender для хранилища см. в aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.4.0 |
Настройка защиты от угроз в Microsoft Defender для рабочих нагрузок ИИ | Новые возможности постоянно добавляются в защиту от угроз для рабочих нагрузок ИИ, которые могут требовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. | DeployIfNotExists, Disabled | 1.0.0 |
Настройка SQL Виртуальные машины для автоматической установки агента Azure Monitor | Автоматизация развертывания расширения агента Azure Monitor в Виртуальные машины Windows SQL. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.5.0 |
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL | Настройте windows SQL Виртуальные машины для автоматической установки расширения Microsoft Defender для SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). | DeployIfNotExists, Disabled | 1.5.0 |
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.7.0 |
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. | DeployIfNotExists, Disabled | 1.8.0 |
Настройка рабочей области Microsoft Defender для Log Analytics для SQL | Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и рабочую область Log Analytics в том же регионе, что и компьютер. | DeployIfNotExists, Disabled | 1.4.0 |
Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем | Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.7.0 |
Развертывание: настройка правил подавления для оповещений Центра безопасности Azure | Вы можете подавлять избыточные оповещения Центра безопасности Azure, развернув соответствующие правила для своей подписки или группы управления. | deployIfNotExists | 1.0.0 |
Развертывание экспорта в Концентратор событий в качестве доверенной службы для Microsoft Defender для облака данных | Включите экспорт в Концентратор событий в качестве надежной службы Microsoft Defender для облака данных. Эта политика развертывает экспорт в Концентратор событий в качестве доверенной конфигурации службы с условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | DeployIfNotExists, Disabled | 1.0.0 |
Развертывание экспорта в Центре событий для данных Microsoft Defender для облака | Включите экспорт в Центр событий для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации концентратора событий с заданными вами условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 4.2.0 |
Развертывание экспорта в рабочую область Log Analytics для данных Microsoft Defender для облака | Включите экспорт в рабочую область Log Analytics для данных Microsoft Defender для облака. Эта политика отвечает за развертывание экспортированных данных в конфигурации рабочей области Log Analytics с заданными вами условиями и целевой рабочей областью в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 4.1.0 |
Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака | Включите автоматизацию оповещений Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
Рекомендации по развертыванию автоматизации рабочих процессов для получения рекомендаций из Microsoft Defender для облака | Включите автоматизацию рекомендаций Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
Развертывание автоматизации рабочих процессов для обеспечения соответствия требованиям из Microsoft Defender для облака | Включите автоматизацию соответствия Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. | deployIfNotExists | 5.0.1 |
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.2.0 |
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
Включение для вашей подписки Microsoft Defender для облака | Выявляет существующие подписки, которые не отслеживается Microsoft Defender для облака, и защищает их с помощью бесплатных функций Defender для облака. Подписки, которые уже отслеживаются, считаются соответствующими требованиям. Чтобы зарегистрировать только что созданные подписки, откройте вкладку "Соответствие", выберите нужное назначение, не соответствующее требованиям, и создайте задачу исправления. | deployIfNotExists | 1.0.1 |
Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с настраиваемой рабочей областью. | Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием настраиваемой рабочей области. | DeployIfNotExists, Disabled | 1.0.0 |
Автоматическая подготовка агента Log Analytics для подписок в Центре безопасности с рабочей областью по умолчанию. | Разрешение Центру безопасности автоматически подготавливать агент Log Analytics для ваших подписок с целью отслеживания и сбора данных о безопасности с использованием рабочей области Центра безопасности Azure по умолчанию. | DeployIfNotExists, Disabled | 1.0.0 |
Включение защиты от угроз для рабочих нагрузок ИИ | Защита от угроз Майкрософт для рабочих нагрузок ИИ предоставляет контекстные оповещения безопасности на основе доказательств, направленные на защиту домашних созданных приложений с использованием искусственного интеллекта | DeployIfNotExists, Disabled | 1.0.0 |
Необходимо устранить проблемы работоспособности защиты конечных точек на компьютерах | Разрешите проблемы с работоспособностью защиты конечных точек на виртуальных машинах, чтобы защитить их от последних угроз и уязвимостей. Решения для защиты конечных точек, которые поддерживает Центр безопасности Azure, описаны на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Документация по оценка защиты конечных точек представлена на следующей странице: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо установить Endpoint Protection на ваших компьютерах | Чтобы защитить компьютеры от угроз и уязвимостей, установите поддерживаемое решение для защиты конечных точек. | AuditIfNotExists, Disabled | 1.0.0 |
В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
Для экземпляров ролей облачных служб (расширенная поддержка) должен быть установлен агент Log Analytics | Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
Компьютеры должны иметь разрешенные секретные выводы | Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. | AuditIfNotExists, Disabled | 1.0.2 |
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
CSPM в Microsoft Defender должен быть включен | Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. CSPM Defender доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. | AuditIfNotExists, Disabled | 1.0.0 |
Необходимо включить Microsoft Defender для API | Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и покрытие ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. | AuditIfNotExists, Disabled | 1.0.3 |
Должен быть включен Microsoft Defender для Azure Cosmos DB | Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает все попытки использования баз данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе аналитики угроз Майкрософт, подозрительные шаблоны доступа и потенциальную возможность использования базы данных с помощью скомпрометированных удостоверений или злоумышленников внутри организации. | AuditIfNotExists, Disabled | 1.0.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Для незащищенных рабочих областей Synapse следует включить Microsoft Defender для SQL | Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает Synapse SQL для обнаружения подозрительной активности, указывающей на необычные и потенциально опасные попытки доступа к базам данных или их использования. | AuditIfNotExists, Disabled | 1.0.0 |
Состояние Microsoft Defender для SQL должно быть защищено для СЕРВЕРОВ SQL с поддержкой Arc | Microsoft Defender для SQL предоставляет функциональные возможности для обнаружения и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, обнаружению и классификации конфиденциальных данных. После включения состояние защиты указывает, что ресурс активно отслеживается. Даже если Защитник включен, необходимо проверить несколько параметров конфигурации на агенте, компьютере, рабочей области и сервере SQL Server, чтобы обеспечить активную защиту. | Audit, Disabled | 1.0.1 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" | Ценовая категория "Стандартный" включает обнаружение угроз для сетей и виртуальных машин, предоставляя возможности аналитики угроз, обнаружения аномалий и аналитики поведения в Центре безопасности Azure | Audit, Disabled | 1.1.0 |
Настройка подписок для перехода на альтернативное решение для оценки уязвимостей | Microsoft Defender для облака предлагает сканирование уязвимостей для компьютеров без дополнительных затрат. Включение этой политики приведет к автоматическому распространению результатов из встроенного решения Microsoft Defender управление уязвимостями на всех поддерживаемых компьютерах Defender для облака. | DeployIfNotExists, Disabled | 1.0.0 (предварительная версия) |
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
Автоматическая подготовка sql server, предназначенная для SQL Server, должна быть включена для серверов SQL server на компьютерах. | Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоматическую подготовку агента Microsoft Monitoring Agent, так как этот компонент устарел. Подробнее: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
На компьютерах должны быть установлены обновления системы (на базе Центра обновления) | На ваших компьютерах не установлены критические обновления, а также обновления системы и безопасности. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. | AuditIfNotExists, Disabled | 1.0.1 |
Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Следующие шаги
Из этой статьи вы узнали об определениях политик безопасности службы "Политика Azure" в Defender для облака. Дополнительные сведения об инициативах, политиках и их связи с рекомендациями Defender для облака см. в статье Что собой представляют политики безопасности, а также инициативы и рекомендации по ее обеспечению?