встроенные определения Политика Azure для Microsoft Defender для облака

Эта страница представляет собой индекс Политика Azure встроенных определений политик, связанных с Microsoft Defender для облака. Доступны следующие группы определений политик:

Дополнительные сведения об использовании политик безопасности см. в статье Использование политик безопасности. Сведения о других встроенных Политика Azure для других служб см. в разделе Политика Azure встроенные определения.

Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".

инициативы Microsoft Defender для облака

Сведения о встроенных инициативах, отслеживаемых Defender для облака, см. в следующей таблице:

Имя Description Policies Версия
[предварительная версия]: развертывание агента Microsoft Defender для конечной точки Разверните агент Microsoft Defender для конечной точки на применимых образах. 4 1.0.0-preview
[предварительная версия]: Microsoft cloud security benchmark версии 2 Microsoft инициатива по тестированию облачной безопасности представляет политики и элементы управления реализацией рекомендаций по безопасности, определенных в Microsoft тесте облачной безопасности, см. в разделе https://aka.ms/azsecbm. Это также служит инициативой политики по умолчанию Microsoft Defender для облака. Вы можете напрямую назначить эту инициативу или управлять политиками и результатами соответствия в Microsoft Defender для облака. 414 1.3.0-preview
Configure Advanced Threat Protection включить в реляционных базах данных с открытым исходным кодом Включите Advanced Threat Protection на реляционных базах данных с открытым исходным кодом уровня с открытым кодом для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. См. https://aka.ms/AzDforOpenSourceDBsDocu. 5 1.2.0
Configure Azure Defender для включения на серверах SQL Server и управляемых экземплярах SQL Включите Azure Defender на серверах SQL Server и Управляемых экземплярах SQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. 3 3.0.0
планы Configure Microsoft Defender для облака Microsoft Defender для облака обеспечивает комплексную облачную защиту от разработки до среды выполнения в нескольких облачных средах. Используйте инициативу политики для настройки планов и расширений Defender для облака для включения выбранных областей. 12 1.1.0
Configure Microsoft Defender для баз данных Настройте Microsoft Defender для баз данных для защиты Azure SQL баз данных, управляемых экземпляров, реляционных баз данных с открытым исходным кодом и Cosmos DB. 4 1.0.0
Configure несколько параметров интеграции Microsoft Defender для конечной точки с Microsoft Defender для облака Настройте несколько параметров интеграции Microsoft Defender для конечной точки с помощью Microsoft Defender для облака (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION и т. д.). См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. 3 1.0.0
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки расширения Microsoft Defender Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). 3 1.0.0
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с рабочей областью LA Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных и Log Analytics рабочую область в том же регионе, что и компьютер. 9 1.3.0
Настройка виртуальных машин SQL и серверов SQL с поддержкой Arc для установки Microsoft Defender для SQL и AMA с определяемой пользователем рабочей областью LA Microsoft Defender для SQL собирает события от агентов и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создает группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. 8 1.2.0
Эталон безопасности в облаке Microsoft Microsoft инициатива по тестированию облачной безопасности представляет политики и элементы управления реализацией рекомендаций по безопасности, определенных в Microsoft тесте облачной безопасности, см. в разделе https://aka.ms/azsecbm. Это также служит инициативой политики по умолчанию Microsoft Defender для облака. Вы можете напрямую назначить эту инициативу или управлять политиками и результатами соответствия в Microsoft Defender для облака. 223 57.56.0

инициатива по умолчанию Defender для облака (Microsoft тест производительности облачной безопасности)

Сведения о встроенных политиках, отслеживаемых Defender для облака, см. в следующей таблице:

Имя политики
(портал Azure)
Description Effect(s) Версия
(GitHub)
[предварительная версия]: весь интернет-трафик должен направляться через развернутый Брандмауэр Azure Центр безопасности Azure определил, что некоторые из подсетей не защищены брандмауэром следующего поколения. Защита подсетей от потенциальных угроз путем ограничения доступа к ним с помощью Брандмауэр Azure или поддерживаемого брандмауэра следующего поколения AuditIfNotExists, отключено 3.0.0-preview
[предварительная версия]: кластеры Kubernetes с поддержкой Azure Arc должны быть установлены Microsoft Defender для облака расширения расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет его в Azure Defender серверной части Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, отключено 6.0.0-preview
[предварительная версия]: гибкий сервер Azure PostgreSQL должен иметь Microsoft Entra включена только проверка подлинности Отключение методов локальной проверки подлинности и разрешение только Microsoft Entra аутентификации повышает безопасность, обеспечивая доступ к гибкому серверу Azure PostgreSQL исключительно с помощью удостоверений Microsoft Entra. Аудит, отключено 1.0.0-preview
[предварительная версия]: Azure Stack серверы HCI должны последовательно применять политики управления приложениями Как минимум, примените базовую политику Microsoft WDAC в принудительном режиме на всех Azure Stack серверах HCI. Примененные политики Windows Defender управления приложениями (WDAC) должны быть согласованы между серверами в одном кластере. Аудит, Отключено, АудитЕслиНеСуществует 1.0.0-preview
[предварительная версия]: Azure Stack серверы HCI должны соответствовать требованиям Secured-core Убедитесь, что все серверы Azure Stack HCI соответствуют требованиям Secured-core. Чтобы включить требования к серверу Secured-core: 1. На странице кластеров HCI Azure Stack перейдите к Windows Admin Center и выберите "Подключиться". 2. Перейдите к расширению безопасности и выберите Secured-core. 3. Выберите любой параметр, который не включен, и нажмите кнопку "Включить". Аудит, Отключено, АудитЕслиНеСуществует 1.0.0-preview
[предварительная версия]: системы HCI Azure Stack должны иметь зашифрованные тома Используйте BitLocker для шифрования томов ОС и данных в Azure Stack системах HCI. Аудит, Отключено, АудитЕслиНеСуществует 1.0.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. AuditIfNotExists, отключено 6.0.0-preview
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. AuditIfNotExists, отключено 5.1.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы разрешить Центр безопасности Azure упреждающее подтверждение и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. AuditIfNotExists, отключено 4.0.0-preview
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к доверенным запускам и конфиденциальным Windows масштабируемым наборам виртуальных машин. AuditIfNotExists, отключено 3.1.0-preview
[предварительная версия]: сеть узлов и виртуальных машин должна быть защищена в системах HCI Azure Stack Защита данных в Azure Stack HCI размещает сеть и подключения к сети виртуальной машины. Аудит, Отключено, АудитЕслиНеСуществует 1.0.0-preview
[предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака определили ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует агент зависимостей Майкрософт для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. AuditIfNotExists, отключено 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует агент зависимостей Майкрософт для сбора данных сетевого трафика с виртуальных машин Azure для включения расширенных функций защиты сети, таких как визуализация трафика на сетевой карте, рекомендации по защите сети и конкретные сетевые угрозы. AuditIfNotExists, отключено 1.0.2-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка Включите безопасную загрузку на поддерживаемых Windows виртуальных машинах, чтобы устранить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. Аудит, отключено 4.0.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. Аудит, отключено 2.0.0-preview
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, отключено 3.0.0
Администратор Microsoft Entra A должен быть подготовлен для серверов MySQL Аудит подготовки администратора Microsoft Entra для сервера MySQL, чтобы включить проверку подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт AuditIfNotExists, отключено 1.1.1
Администратор Microsoft Entra A должен быть подготовлен для серверов PostgreSQL Аудит подготовки администратора Microsoft Entra для сервера PostgreSQL для включения проверки подлинности Microsoft Entra. Проверка подлинности Microsoft Entra позволяет упростить управление разрешениями и централизованное управление удостоверениями пользователей базы данных и других службы Майкрософт AuditIfNotExists, отключено 1.0.1
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть это средство для вас. AuditIfNotExists, отключено 3.0.0
Все сетевые порты должны быть ограничены группами безопасности сети, связанными с вашей виртуальной машиной Центр безопасности Azure определил, что некоторые входящие правила ваших групп безопасности сети слишком разрешительные. Правила настройки входящего трафика не должны разрешать доступ из диапазонов «Any» или «Internet». Это может позволить злоумышленникам нацеливать на ваши ресурсы. AuditIfNotExists, отключено 3.0.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Проверьте предоставление администратора Azure Active Directory для вашего сервера SQL чтобы включить аутентификацию Azure AD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, отключено 1.0.0
Конечные точки API в Azure Управление API должны проходить проверку подлинности Конечные точки API, опубликованные в Azure API Management, должны применять проверку подлинности, чтобы свести к минимуму риски безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и access данных. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, отключено 1.0.1
Неиспользуемые конечные точки API должны быть отключены и удалены из службы Управления API Azure В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure API Management. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы Azure API Management, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. AuditIfNotExists, отключено 1.0.1
API Management должны использовать только зашифрованные протоколы Чтобы обеспечить безопасность передаваемых данных, API-интерфейсы должны быть доступны только через зашифрованные протоколы, такие как HTTPS или WSS. Избегайте использования незащищенных протоколов, таких как HTTP или WS. Аудит, Отключено, Отклонить 2.0.2
Вызовы Управления API к серверным компонентам API должны проходить проверку подлинности Вызовы от API Management к серверным службам должны использовать некоторую форму проверки подлинности, будь то через сертификаты или учетные данные. Не применяется к серверным службам Fabric. Аудит, Отключено, Отклонить 1.0.1
Вызовы Управления API к серверным компонентам API не должны обходить проверку отпечатка сертификата или имени Чтобы повысить безопасность API, API Management должен проверить сертификат внутреннего сервера для всех вызовов API. Включите проверку отпечатка и имени SSL-сертификата. Аудит, Отключено, Отклонить 1.0.2
Конечная точка для прямого управления API не должна быть включена REST API прямого управления в Azure API Management проходит Azure Resource Manager механизмы управления доступом на основе ролей, авторизации и регулирования, что повышает уязвимость службы. Аудит, Отключено, Отклонить 1.0.2
Именованные значения секрета управления API необходимо хранить в Azure Key Vault Именованные значения — это коллекция пар имен и значений в каждой службе управления API. Значения секретов можно хранить как зашифрованный текст в Управление API (пользовательские секреты) или ссылаться на секреты в Azure Key Vault. Чтобы повысить безопасность управления API и секретов, нужно ссылаться на секретные именованные значения из Azure Key Vault. Azure Key Vault поддерживает детализированные политики управления доступом и ротации секретов. Аудит, Отключено, Отклонить 1.0.2
Службы управления API должны использовать виртуальную сеть Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет размещать службу управления API в сети, не маршрутизируемой через интернет, к которой вы управляете доступом. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, которые обеспечивают доступ к внутренним службам в сети и (или) локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. Аудит, отказ в доступе, отключено 1.0.2
Управление API должно отключить доступ к конечным точкам конфигурации службы из общедоступной сети. Чтобы повысить безопасность служб API Management, ограничьте подключение к конечным точкам конфигурации службы, таким как прямой access API управления, конечная точка управления конфигурацией Git или конечная точка конфигурации локального шлюза. AuditIfNotExists, отключено 1.0.1
Подписки на управление API не должны охватывать все API Подписки на управление API должны быть ограничены до уровня продукта или отдельного API, а не для всех API, что может привести к чрезмерному воздействию данных. Аудит, Отключено, Отклонить 1.1.0
Служба "Конфигурация приложений" должна использовать приватную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с экземплярами конфигурации приложений, а не со всей службой, вы также защищены от рисков утечки данных. Узнать больше по адресу: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, отключено 1.0.2
Приложения App Service должны иметь включённые клиентские сертификаты (входящие клиентские сертификаты) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, отключено 1.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, отключено 2.0.0
В приложениях Службы приложений должны быть включены журналы ресурсов Аудит включения журналов ресурсов в приложении. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, отключено 2.0.1
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, отключено 2.0.0
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Аудит, Отключено, Отклонить 4.0.0
Приложения App Service должны допускать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, отключено 3.0.0
Приложения App Service должны использовать управляемый идентификатор Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, отключено 3.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите TLS до последней версии для приложений App Service, чтобы воспользоваться исправлениями безопасности, если таковые имеются, и/или новыми функциями последней версии. AuditIfNotExists, отключено 2.2.0
Аудит использования пользовательских ролей RBAC Используйте аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, так как они подвержены ошибкам. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Аудит, отключено 1.0.1
Необходимо включить аудит на сервере SQL Чтобы отслеживать действия во всех базах данных на сервере и сохранять их в журнале аудита, необходимо включить аудит на вашем SQL Server. AuditIfNotExists, отключено 2.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Самый безопасный вариант проверки подлинности на виртуальной машине Linux Azure по протоколу SSH — с парой открытого закрытого ключа, также известной как ключи SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, отключено 3.2.0
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Аудит, отключено 2.0.1
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Аудит, отказ в доступе, отключено 1.1.0
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. Аудит, отказ в доступе, отключено 2.2.0
У ресурсов служб Azure AI должен быть отключен доступ по ключам (отключить локальную аутентификацию) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Аудит, отказ в доступе, отключено 1.1.0
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Аудит, отказ в доступе, отключено 3.3.0
Ресурсы Azure AI Services должны использовать Приватный канал Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал снижает риски утечки данных путем обработки подключения между потребителем и службами через магистральную сеть Azure. Дополнительные сведения о частных ссылках см. в следующем: https://aka.ms/AzurePrivateLink/Overview Аудит, отключено 1.0.0
Версия платформы Azure API-менеджмент должна быть stv2 Azure API Management версия вычислительной платформы stv1 будет прекращена с 31 августа 2024 года, и эти экземпляры должны быть перенесены на платформу вычислений stv2 для продолжения поддержки. Дополнительные сведения см. на странице https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. Аудит, отказ в доступе, отключено 1.0.0
кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure установлено Расширение Политика Azure для Azure Arc обеспечивает горизонтальное применение и защиту кластеров Kubernetes с поддержкой Arc в централизованном и согласованном режиме. Узнайте больше по адресу https://aka.ms/akspolicydoc. AuditIfNotExists, отключено 1.1.0
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup. Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, отключено 3.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. Узнать больше по адресу: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, отключено 1.0.0
Учётные записи Azure Cosmos DB должны иметь правила брандмауэра Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить трафик от несанкционированных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. Аудит, отказ в доступе, отключено 2.1.0
Учетные записи Azure Cosmos DB должны использовать ключи, управляемые клиентом, для шифрования данных в состоянии покоя Используйте ключи, управляемые клиентом, для управления шифрованием данных в состоянии покоя в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. аудит, Аудит, запретить, Запретить, отключено, Отключено 1.1.0
Azure Cosmos DB должен отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что ваша учетная запись Cosmos DB не будет представлена в интернете. Создав частные конечные точки, можно ограничить раскрытие данных учетной записи Cosmos DB. Узнать больше по адресу: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Аудит, отказ в доступе, отключено 1.0.0
кластеры Azure Databricks должны отключить общедоступный IP-адрес Отключение общедоступного IP-адреса кластеров в рабочих областях Azure Databricks повышает безопасность, гарантируя, что кластеры не предоставляются в общедоступном Интернете. Узнать больше по адресу: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. Аудит, отказ в доступе, отключено 1.0.1
Azure Databricks Рабочие области должны находиться в виртуальной сети Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для рабочих областей Azure Databricks, а также подсетей, политик управления доступом и других функций для дальнейшего ограничения доступа. Узнать больше по адресу: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Аудит, отказ в доступе, отключено 1.0.2
Azure Databricks Рабочие области должны отключить доступ к общедоступной сети Отключение общедоступного сетевого доступа повышает безопасность, поскольку гарантирует, что ресурс не доступен из общедоступного Интернета. Вместо этого можно управлять воздействием ресурсов, создавая частные конечные точки. Узнать больше по адресу: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Аудит, отказ в доступе, отключено 1.0.1
Azure Databricks Рабочие области должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. Сопоставляя частные конечные точки с Azure Databricks рабочими областями, вы можете снизить риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/adbpe. Аудит, отключено 1.0.2
Azure защита от атак DDoS должна быть включена Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. AuditIfNotExists, отключено 3.0.1
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, отключено 1.0.3
Azure Defender для серверов База данных SQL Azure следует включить Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. AuditIfNotExists, отключено 1.0.2
Azure Defender для Key Vault следует включить Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. AuditIfNotExists, отключено 1.0.3
Azure Defender для реляционных баз данных с открытым кодом следует включить Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. в https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, отключено 1.0.0
Azure Defender для Resource Manager следует включить Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender приводит к сбору. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, отключено 1.0.0
Azure Defender для серверов следует включить Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. AuditIfNotExists, отключено 1.0.3
Azure Defender для серверов SQL на компьютерах следует включить Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. AuditIfNotExists, отключено 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, отключено 2.0.1
Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL Аудит гибких серверов MySQL без расширенной безопасности данных AuditIfNotExists, отключено 1.0.0
Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL Аудит гибких серверов PostgreSQL без расширенной безопасности данных AuditIfNotExists, отключено 1.0.0
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Выполните аудит всех управляемых экземпляров SQL без расширенной защиты данных. AuditIfNotExists, отключено 1.0.2
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. Узнать больше по адресу: https://aka.ms/privateendpoints. Аудит, отключено 1.0.2
разделы Сетка событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. Узнать больше по адресу: https://aka.ms/privateendpoints. Аудит, отключено 1.0.2
Azure Key Vault должен иметь брандмауэр или отключен доступ к общедоступной сети Включите брандмауэр key vault, чтобы key vault по умолчанию недоступен для общедоступных IP-адресов или отключите access общедоступной сети для key vault, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink Аудит, отказ в доступе, отключено 3.3.0
Azure Key Vault должен использовать модель разрешений RBAC Включите модель разрешений RBAC в хранилищах ключей. См. дополнительные сведения: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration. Аудит, отказ в доступе, отключено 1.0.1
Azure Хранилища ключей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. Сопоставляя частные конечные точки с key vault, можно снизить риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
В кластерах Службы Azure Kubernetes должен быть включен профиль Defender Microsoft Defender для контейнеров предоставляет ориентированные на облако возможности безопасности для Kubernetes, включая усиление защиты среды, защиту рабочих нагрузок и защиту во время выполнения. При включении SecurityProfile.AzureDefender в кластере Службы Azure Kubernetes в кластере развертывается агент для сбора данных о событиях безопасности. Ознакомьтесь с дополнительными сведениями о Microsoft Defender для контейнеров в https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. Аудит, отключено 2.0.1
Машинное обучение Azure вычислительные экземпляры необходимо повторно создать, чтобы получить последние обновления программного обеспечения Убедитесь, что Машинное обучение Azure вычислительные экземпляры выполняются в последней доступной операционной системе. Безопасность улучшается, а уязвимости сокращаются за счет выполнения последних исправлений безопасности. Дополнительные сведения см. на странице https://aka.ms/azureml-ci-updates/. [parameters('effects')] 1.0.3
Вычислительные ресурсы Машинное обучение Azure должны находиться в виртуальной сети. Azure виртуальные сети обеспечивают повышенную безопасность и изоляцию для вычислительных кластеров и экземпляров в Машинное обучение Azure, а также подсетей, политик контроля доступа и других функций, позволяющих еще больше ограничить доступ. Если вычислительная среда настроена с виртуальной сетью, она не является общедоступной и может быть доступна только из виртуальных машин и приложений в виртуальной сети. Аудит, отключено 1.0.1
Машинное обучение Azure Вычисления должны иметь отключенные локальные методы проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что Машинное обучение вычислительные ресурсы требуют Azure Active Directory удостоверения исключительно для проверки подлинности. Узнать больше по адресу: https://aka.ms/azure-ml-aad-policy. Аудит, отказ в доступе, отключено 2.1.0
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. Аудит, отказ в доступе, отключено 1.1.0
Машинное обучение Azure Рабочие области должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что Машинное обучение рабочие области не предоставляются в общедоступном Интернете. Вы можете контролировать доступность ваших рабочих областей, создавая частные конечные точки. Дополнительные сведения см. в следующем: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Аудит, отказ в доступе, отключено 2.0.1
Машинное обучение Azure рабочие области должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. При сопоставлении частных конечных точек с Машинное обучение Azure рабочих областей риски утечки данных снижаются. Узнайте больше о приватных ссылках здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Аудит, отключено 1.0.0
Azure гибкий сервер MySQL должен иметь Microsoft Entra включена только проверка подлинности Отключение локальных методов проверки подлинности и разрешение только Microsoft Entra аутентификации повышает безопасность, гарантируя Azure, что гибкий сервер MySQL может быть доступен исключительно Microsoft Entra удостоверениями. AuditIfNotExists, отключено 1.0.1
Политика Azure надстройка для службы Kubernetes (AKS) должна быть установлена и включена в кластерах Политика Azure надстройка для службы Kubernetes (AKS) расширяет шлюз версии 3, веб-перехватчик контроллера допуска для агента open Policy Agent (OPA), чтобы применять масштабируемые принудительное применение и защиту в кластерах централизованно, согласованно. Аудит, отключено 1.0.2
Уязвимости образов контейнеров реестра Azure должны быть устранены (при поддержке Управления уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. AuditIfNotExists, отключено 1.0.1
Запущенные в Azure образы контейнеров должны иметь устраненные уязвимости (при поддержке Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые находятся в работе, является ключевым шагом к улучшению вашей безопасности, значительно уменьшая поверхность атаки для контейнерных рабочих нагрузок. AuditIfNotExists, отключено 1.0.1
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Узнайте больше о приватных ссылках здесь: https://aka.ms/asrs/privatelink. Аудит, отключено 1.0.0
Служба Azure Spring Cloud должна использовать сетевую инъекцию Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. Аудит, Отключено, Отклонить 1.2.0
База данных SQL Azure должна использовать TLS 1.2 или более поздней версии Настройка TLS версии 1.2 или более поздней повышает безопасность, обеспечивая доступ к База данных SQL Azure только от клиентов с помощью TLS 1.2 или более поздней версии. Применение версий, предшествующих TLS 1.2, не рекомендуется, так как у них есть хорошо задокументированные уязвимости. Аудит, Отключено, Отклонить 2.0.0
Для базы данных Azure SQL должна быть включена аутентификация только через Microsoft Entra Требовать Azure SQL логических серверов для использования Microsoft Entra проверки подлинности только для Microsoft Entra. Эта политика не блокирует создание серверов с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/adonlycreate. Аудит, отказ в доступе, отключено 1.0.0
Azure SQL логические серверы должны иметь доступную Microsoft Entra проверку подлинности во время создания Требовать создания логических серверов Azure SQL с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/adonlycreate. Аудит, отказ в доступе, отключено 1.3.0
Для управляемого экземпляра Azure SQL должна быть включена аутентификация только через Microsoft Entra Требовать Управляемый экземпляр SQL Azure использовать проверку подлинности только Microsoft Entra. Эта политика не блокирует создание управляемых экземпляров Azure SQL с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/adonlycreate. Аудит, отказ в доступе, отключено 1.0.0
Управляемые экземпляры SQL Azure должны отключить доступ к общедоступной сети Отключение доступа к общедоступной сети (общедоступной конечной точке) в Управляемых экземплярах SQL Azure повышает безопасность, так как доступ оказывается разрешен только из виртуальных сетей или через частные конечные точки. Дополнительные сведения о доступе к общедоступным сетям см. в статье https://aka.ms/mi-public-endpoint. Аудит, отказ в доступе, отключено 1.0.0
Для управляемых экземпляров SQL Azure следует включать аутентификацию только через Microsoft Entra при создании Требовать создания Управляемый экземпляр SQL Azure с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/adonlycreate. Аудит, отказ в доступе, отключено 1.2.0
Брандмауэр веб-приложений Azure следует включить для Azure Front Door точек входа Разверните Брандмауэр веб-приложений Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Аудит, отказ в доступе, отключено 1.0.2
Блокированные учетные записи с разрешениями владельца на ресурсы Azure должны быть удалены Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, отключено 1.0.0
Блокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, отключено 1.0.0
Сертификаты должны иметь указанный максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. аудит, Аудит, запретить, Запретить, отключено, Отключено 2.2.1
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием содержимого ваших реестров в состоянии покоя. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Аудит, отказ в доступе, отключено 1.1.2
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. Аудит, отказ в доступе, отключено 2.0.0
Реестры контейнеров должны использовать приватное соединение Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. Узнать больше по адресу: https://aka.ms/acr/private-link. Аудит, отключено 1.0.1
Учетные записи базы данныхCosmos DB должны иметь отключенные локальные методы проверки подлинности Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что учетные записи базы данных Cosmos DB требуют исключительно Azure Active Directory удостоверений для проверки подлинности. Узнать больше по адресу: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Аудит, отказ в доступе, отключено 1.2.0
Учетные записи Cosmos DB должны использовать Private Link Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Узнайте больше о приватных ссылках здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Аудит, отключено 1.0.0
Диагностические журналы в ресурсах служб Azure AI должны быть включены Включите журналы для ресурсов служб ИИ Azure. Это позволяет повторно создавать тропы действий для расследования, когда происходит инцидент безопасности или сеть скомпрометирована. AuditIfNotExists, отключено 1.0.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, отключено 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, отключено 2.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Аудит, отключено 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Аудит, отключено 1.0.1
Приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, отключено 1.1.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, отключено 2.1.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Общий доступ к ресурсам независимо от источника (CORS) не должен разрешать всем доменам доступ к вашему функциональному приложению. Разрешите взаимодействие с функциональным приложением только необходимым доменам. AuditIfNotExists, отключено 2.1.0
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Аудит, Отключено, Отклонить 5.1.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, отключено 3.1.0
Функциональные приложения должны использовать управляемую идентификацию Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, отключено 3.1.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, отключено 2.3.0
Для базы данных Azure MariaDB должно быть включено геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Аудит, отключено 1.0.1
Необходимо включить геоизбыточное резервное копирование для базы данных Azure для MySQL База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Аудит, отключено 1.0.1
Для базы данных Azure для PostgreSQL должно быть включено геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Аудит, отключено 1.0.1
Guest с разрешениями владельца на Azure ресурсы следует удалить Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
учетные записи Guest с разрешениями на чтение ресурсов Azure следует удалить Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
учетные записи Guest с разрешениями на запись для ресурсов Azure следует удалить Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки будут доступны политики в режиме гостя, такие как "Защита от уязвимостей Windows должна быть включена". Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, отключено 1.0.3
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, отключено 3.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, отключено 3.0.0
Для ключей Key Vault должна быть задана дата окончания срока действия Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Аудит, отказ в доступе, отключено 1.0.2
Key Vault секреты должны иметь дату окончания срока действия Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. Аудит, отказ в доступе, отключено 1.0.2
Key vaults должны иметь защиту от удаления Вредоносное удаление key vault может привести к постоянной потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Никто из вашей организации или Microsoft не сможет очистить хранилища ключей в течение периода хранения обратимого удаления. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Аудит, отказ в доступе, отключено 2.1.0
Key vaults должны иметь обратимое удаление Удаление хранилища ключей без включённой функции обратимого удаления приводит к окончательному удалению всех секретов, ключей и сертификатов, хранящихся в этом хранилище ключей. Случайное удаление хранилища ключей может привести к постоянной потере данных. Обратимое удаление позволяет восстановить хранилище ключей, случайно удаленное в течение настраиваемого периода хранения. Аудит, отказ в доступе, отключено 3.1.0
Ограничения ресурсов ЦП и памяти контейнеров кластера Kubernetes не должны превышать указанные ограничения. Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 9.3.0
Контейнеры кластеров Kubernetes не должны совместно использовать пространства имен узлов Блокировка доступа к пространству имен идентификатора процесса узла, пространству имен IPC узла и пространству имен сети узла в кластере Kubernetes. Эта рекомендация соответствует стандартам безопасности Pod Kubernetes для пространств имен узлов и входит в состав CIS 5.2.1, 5.2.2 и 5.2.3, предназначенных для повышения безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. Аудит, отказ в доступе, отключено 6.0.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 6.2.1
Контейнеры кластера Kubernetes должны использовать только разрешенные возможности Ограничьте возможности для уменьшения surface атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 6.2.0
контейнеры кластера Kubernetes должны использовать только разрешенные образы Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 9.3.0
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 6.3.0
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Azure Arc включена Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 6.3.0
Поды и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 6.2.0
Модули pod кластера Kubernetes должны использовать только утвержденный список сети хоста и портов. Ограничьте access pod сети узла и допустимые порты узлов в кластере Kubernetes. Эта рекомендация является частью CIS 5.2.4, которая предназначена для повышения безопасности сред Kubernetes и соответствует стандартам безопасности Pod (PSS) для hostPorts. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. Аудит, отказ в доступе, отключено 7.0.0
Службы кластера Kubernetes должны прослушивать только разрешенные порты Ограничить службы прослушивать только разрешенные порты, чтобы защитить access в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 8.2.0
Кластер Kubernetes не должен разрешать привилегированные контейнеры Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 9.2.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. Аудит, отказ в доступе, отключено 9.0.0
Кластеры Kubernetes должны отключить учетные данные API автоподключения Отключите учетные данные API автоподключения, чтобы предотвратить потенциально скомпрометированный ресурс Pod для выполнения команд API в кластерах Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 4.2.0
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Azure Arc включено Kubernetes. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. Аудит, отказ в доступе, отключено 8.0.0
Кластеры Kubernetes не должны предоставлять функции безопасности CAP_SYS_ADMIN Чтобы уменьшить surface атаки контейнеров, ограничьте CAP_SYS_ADMIN возможности Linux. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 5.1.0
Кластеры Kubernetes не должны использовать пространство имен по умолчанию Запрет использования пространства имен по умолчанию в кластерах Kubernetes для защиты от несанкционированных access для типов ресурсов ConfigMap, Pod, Secret, Service и ServiceAccount. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. аудит, Аудит, запретить, Запретить, отключено, Отключено 4.2.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. AuditIfNotExists, отключено 2.3.1
Виртуальные машины Linux должны включать Шифрование дисков Azure или EncryptionAtHost. Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует настройки двух условий в рамках области применения этой политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, отключено 1.2.1
Компьютеры должны быть настроены для периодической проверки отсутствия обновлений системы Чтобы периодические оценки отсутствующих системных обновлений запускались автоматически каждые 24 часа, для свойства AssessmentMode должно быть задано значение "AutomaticByPlatform". Дополнительные сведения о свойстве AssessmentMode см. в следующих разделах: для Windows: https://aka.ms/computevm-windowspatchassessmentmode, для Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Аудит, отказ в доступе, отключено 3.9.0
Компьютеры должны иметь разрешенные секретные выводы Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. AuditIfNotExists, отключено 1.0.2
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный доступ к сети JIT будет отслеживаться Центр безопасности Azure в качестве рекомендаций AuditIfNotExists, отключено 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод грубой силы для подбора учетных данных, чтобы получить административный доступ к машине. AuditIfNotExists, отключено 3.0.0
Microsoft Defender CSPM следует включить Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для API следует включить Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. AuditIfNotExists, отключено 1.0.3
Microsoft Defender для контейнеров следует включить Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для хранилища следует включить Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, отключено 1.0.0
Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием данных в состоянии покоя на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, отключено 1.0.4
Наблюдатель за сетями следует включить Наблюдатель за сетями — это региональная служба, которая позволяет отслеживать и диагностировать условия на уровне сетевого сценария в Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы с помощью сквозного представления всей сети. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, отключено 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, отключено 3.0.0
Необходимо включить только безопасные подключения к кэшу Azure для Redis. Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Аудит, отказ в доступе, отключено 1.0.0
Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием данных в состоянии покоя на ваших серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, отключено 1.0.4
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают безопасную связь путем включения частного подключения к База данных SQL Azure. Аудит, отключено 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, отключено 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, отключено 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, отключено 1.0.2
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение свойства доступа к общедоступной сети повышает безопасность, обеспечивая доступ к База данных SQL Azure только из частной конечной точки. Эта конфигурация запрещает все попытки входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Аудит, отказ в доступе, отключено 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MariaDB можно получить доступ только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Аудит, отказ в доступе, отключено 2.0.0
Сеть access Public следует отключить для серверов MySQL Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для MySQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Аудит, отказ в доступе, отключено 2.0.0
сеть access для серверов PostgreSQL следует отключить Отключите свойство доступа к общедоступной сети для повышения безопасности и убедитесь, что База данных Azure для PostgreSQL доступ к ней можно получить только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства за пределами диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Аудит, отказ в доступе, отключено 2.0.1
В Azure Data Lake Storage должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В рабочих областях Azure Databricks необходимо включить журналы ресурсов Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. AuditIfNotExists, отключено 1.0.1
Журналы ресурсов в Службе Azure Kubernetes должны быть включены журналы ресурсов Служба Azure Kubernetes помогут воссоздать следы действий при расследовании инцидентов безопасности. Включите ведение этих журналов, чтобы воспользоваться ими при необходимости. AuditIfNotExists, отключено 1.0.0
Журналы ресурсов в рабочих областях Машинное обучение Azure должны быть включены Журналы ресурсов позволяют повторно создавать тропы действий, которые используются для расследования, когда возникает инцидент безопасности или когда сеть скомпрометирована. AuditIfNotExists, отключено 1.0.1
В Azure Stream Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В учетных записях Batch следует включить журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В Центре событий должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 3.1.0
В Key Vault должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. AuditIfNotExists, отключено 5.0.0
В Logic Apps должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.1.0
В службах "Поиск" должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
В Служебной шине должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать следы действий для целей расследования в случае инцидента безопасности или компрометации вашей сети. AuditIfNotExists, отключено 5.0.0
Role-Based контроль доступа (RBAC) следует использовать в службах Kubernetes Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте Role-Based контроль доступа (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройки соответствующих политик авторизации. Аудит, отключено 1.1.0
Следует включить безопасную передачу данных в учетные записи хранения Проверка требования безопасной передачи в вашей учетной записи хранения. Безопасная передача — это параметр, который требует, чтобы учетная запись хранилища принимала запросы только через защищенные соединения (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Аудит, отказ в доступе, отключено 2.0.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Служба Fabric предоставляет три уровня защиты (None, Sign and EncryptAndSign) для обмена данными между узлами с помощью первичного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Аудит, отказ в доступе, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит использования проверки подлинности клиента только через Azure Active Directory в службе Fabric Аудит, отказ в доступе, отключено 1.1.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, отключено 4.1.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Аудит, отказ в доступе, отключено 2.0.0
Автоматическая подготовка, ориентированная на SQL Server, должна быть включена для серверов в соответствии с планом использования машин. Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоконфигурацию агента Microsoft Monitoring Agent, так как этот компонент устаревает. Подробнее: https://aka.ms/SQLAMAMigration AuditIfNotExists, отключено 1.0.0
SQL-серверы на машинах должны иметь устранённые уязвимости Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. AuditIfNotExists, отключено 1.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Использование прозрачного шифрования данных (TDE) с собственным ключом обеспечивает большую прозрачность и контроль над средством защиты TDE, более высокий уровень безопасности благодаря внешней службе с поддержкой HSM и способствует разграничению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Аудит, отказ в доступе, отключено 2.0.1
Для серверов SQL Server с аудитом, настроенным на запись в учетную запись хранения, следует настроить срок хранения не менее 90 дней В целях расследования инцидентов рекомендуется настроить хранение данных для аудита SQL Server в целевом месте учетной записи хранения не менее 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, отключено 3.0.0
Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общедоступный доступ на чтение к контейнерам и большим двоичным объектам в служба хранилища Azure — удобный способ совместного использования данных, но может представлять риски для безопасности. Чтобы предотвратить нарушения данных, вызванные нежелательным анонимным доступом, Microsoft рекомендует запретить общедоступный доступ к учетной записи хранения, если не требуется. аудит, Аудит, запретить, Запретить, отключено, Отключено 3.1.1
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager Используйте новые Azure Resource Manager для учетных записей хранения, чтобы обеспечить такие улучшения безопасности, как более строгий контроль доступа (RBAC), улучшение аудита, Azure Resource Manager развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям, доступ к хранилищу ключей для секретов, Azure Проверка подлинности на основе AD и поддержка тегов и групп ресурсов для упрощения управления безопасностью Аудит, отказ в доступе, отключено 1.0.0
Учетные записи хранения должны предотвращать доступ к общему ключу Требование аудита Azure Active Directory (Azure AD) для авторизации запросов учетной записи хранения. По умолчанию запросы можно авторизовать с помощью учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации общего ключа. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и простоту использования общего ключа и рекомендуется Microsoft. Аудит, отказ в доступе, отключено 2.0.0
Учетные записи хранения должны предотвратить доступ к общему ключу (за исключением учетных записей хранения, созданных Databricks) Требование аудита Azure Active Directory (Azure AD) для авторизации запросов учетной записи хранения. По умолчанию запросы можно авторизовать с помощью учетных данных Azure Active Directory или с помощью ключа доступа к учетной записи для авторизации общего ключа. Из этих двух типов авторизации Azure AD обеспечивает более высокую безопасность и простоту использования общего ключа и рекомендуется Microsoft. Аудит, отказ в доступе, отключено 1.0.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от определенных интернет-клиентов или локальных клиентов, доступ можно предоставить трафику из определенных виртуальных сетей Azure или диапазонов общедоступных IP-адресов интернета. Аудит, отказ в доступе, отключено 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Аудит, отказ в доступе, отключено 1.0.1
Учетные записи хранения должны ограничить доступ к сети с помощью правил виртуальной сети (за исключением учетных записей хранения, созданных Databricks) Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Аудит, отказ в доступе, отключено 1.0.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Защитите учетную запись хранилища BLOB-объектов и файлов с большей гибкостью с помощью ключей, управляемых клиентом. Когда вы указываете ключ, управляемый клиентом, этот ключ используется для защиты и контроля доступа к ключу, который шифрует ваши данные. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Аудит, отключено 1.0.3
Учетные записи хранения должны использовать приватную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных ссылках см. по адресу — https://aka.ms/azureprivatelinkoverview AuditIfNotExists, отключено 2.0.0
Учетные записи хранения должны использовать приватный канал (за исключением учетных записей хранения, созданных Databricks) Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных ссылках см. по адресу — https://aka.ms/azureprivatelinkoverview AuditIfNotExists, отключено 1.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). ГСБ содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в вашу подсеть. AuditIfNotExists, отключено 3.0.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, отключено 1.0.1
Рабочая областьSynapse должна быть включена только для проверки подлинности Microsoft Entra Требовать, чтобы рабочие области Synapse использовали проверку подлинности только Microsoft Entra. Эта политика не блокирует создание рабочих областей с включенной локальной проверкой подлинности. После создания эта проверка подлинности блокирует включение локальной проверки подлинности на ресурсах. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/Synapse. Аудит, отказ в доступе, отключено 1.0.0
Рабочие областиSynapse должны использовать только удостоверения Microsoft Entra для проверки подлинности во время создания рабочей области Требовать создание рабочих областей Synapse с помощью проверки подлинности только Microsoft Entra. Эта политика не блокирует повторное включение локальной проверки подлинности на ресурсах после создания. Вместо этого рекомендуется использовать инициативу проверки подлинности только для Microsoft Entra. Узнать больше по адресу: https://aka.ms/Synapse. Аудит, отказ в доступе, отключено 1.2.0
На компьютерах должны быть установлены обновления системы (на базе Центра обновления) На ваших компьютерах отсутствуют системные, защитные и критически важные обновления. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. AuditIfNotExists, отключено 1.0.1
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, отключено 3.0.0
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты данных в состоянии покоя и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, отключено 2.0.0
Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. Аудит, отказ в доступе, отключено 1.0.0
Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Аудит, отказ в доступе, отключено 1.0.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure, подпадающие под действие этой политики, будут несоответствующими, если у них установлено расширение гостевой конфигурации, но отсутствует системно назначенное управляемое удостоверение. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, отключено 1.0.1
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в точке отправления или назначения. Платформа Приватный канал обеспечивает соединение между потребителем и службами через основную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Узнайте больше о приватных ссылках здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Аудит, Отключено, Отклонить 1.1.0
шлюзы VPN должны использовать только проверку подлинности Azure Active Directory (Azure AD) для пользователей типа "точка — сеть Отключение локальных методов проверки подлинности повышает безопасность, гарантируя, что VPN-шлюзы используют только Azure Active Directory удостоверения для проверки подлинности. Дополнительные сведения о проверке подлинности Azure AD см. в https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Аудит, отказ в доступе, отключено 1.0.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Аудит каждой Управляемый экземпляр SQL, которая не имеет правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, отключено 1.1.0
На серверах SQL Server должна быть включена оценка уязвимости Аудит Azure SQL серверов, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, отключено 3.0.0
Брандмауэр веб-приложений (WAF) следует включить для шлюза приложений Разверните Брандмауэр веб-приложений Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложений (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, таких как внедрение SQL, межсайтовый скрипт, выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Аудит, отказ в доступе, отключено 2.0.0
Защитник Windows Exploit Guard должен быть включен на компьютерах В Windows Defender Exploit Guard используется агент гостевой конфигурации политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, отключено 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, передаваемой через Интернет, ваши машины должны использовать последнюю версию стандартного криптографического протокола, Transport Layer Security (TLS). TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, отключено 4.1.1
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютер настроен неправильно для одной из рекомендаций в базовой Azure вычислительной безопасности. AuditIfNotExists, отключено 2.1.1
Виртуальные машины Windows должны включать Шифрование дисков Azure или EncryptionAtHost. Хотя ОС и диски данных виртуальной машины шифруются по умолчанию с помощью управляемых платформой ключей; Диски ресурсов (временные диски), кэши данных и поток данных между ресурсами вычислений и хранилища не шифруются. Чтобы устранить проблему, используйте Шифрование дисков Azure или EncryptionAtHost. Ознакомьтесь https://aka.ms/diskencryptioncomparison с предложениями шифрования. Эта политика требует настройки двух условий в рамках области применения этой политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. AuditIfNotExists, отключено 1.1.1

категория Microsoft Defender для облака

Имя
(портал Azure)
Description Effect(s) Версия
(GitHub)
[Предварительная версия]. На виртуальной машине Linux с поддержкой Arc должно быть установлено расширение ChangeTracking Установите расширение ChangeTracking на компьютерах Linux Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. На виртуальной машине Linux должно быть установлено расширение "Отслеживание изменений" Установите расширение ChangeTracking на виртуальных машинах Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 2.0.0-preview
[предварительная версия]: расширение ChangeTracking должно быть установлено на компьютере Windows Arc Установите расширение ChangeTracking на Windows компьютерах Arc, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 1.0.0-preview
[предварительная версия]: расширение ChangeTracking должно быть установлено на виртуальной машине Windows Установите расширение ChangeTracking на Windows виртуальных машинах, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 2.0.0-preview
[предварительная версия]: настройка Azure Defender агента SQL на виртуальной машине Настройте компьютеры Windows для автоматической установки Azure Defender агента SQL, где установлен агент Azure Monitor. Центр безопасности собирает события, поступающие от агента, и предоставляет на их основе оповещения системы безопасности и специализированные задачи защиты (рекомендации). Создает группу ресурсов и Log Analytics рабочую область в том же регионе, что и компьютер. Целевые виртуальные машины должны находиться в поддерживаемом расположении. РазвернутьЕслиНеСуществует, Отключено 1.0.0-preview
[Предварительная версия]. Настройка поддерживаемых масштабируемых наборов виртуальных машин Linux для автоматической установки расширения аттестации гостей Настройте поддерживаемые масштабируемые наборы виртуальных машин Linux для автоматической установки расширения гостевой аттестации, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 6.1.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматического включения безопасной загрузки Настройка поддерживаемых виртуальных машинах Linux позволяет автоматически включать безопасную загрузку и предотвращать вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. РазвернутьЕслиНеСуществует, Отключено 5.0.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин Linux для автоматической установки расширения аттестации гостей Настройте поддерживаемые виртуальные машины Linux для автоматической установки расширения гостевой аттестации, чтобы разрешить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 7.1.0-preview
[Предварительная версия]. Настройка поддерживаемых виртуальных машин для автоматического включения vTPM Настройка поддерживаемых виртуальных машин для автоматического включения vTPM. Он будет использоваться для измеряемой загрузки и других функций безопасности ОС, которым необходим модуль TPM. После включения vTPM можно использовать для проверки целостности загрузки. РазвернутьЕслиНеСуществует, Отключено 2.0.0-preview
[предварительная версия]: настройте поддерживаемые масштабируемые наборы виртуальных машин Windows для автоматической установки расширения аттестации гостей Настройте поддерживаемые Windows масштабируемые наборы виртуальных машин, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 4.1.0-preview
[предварительная версия]: настройте поддерживаемые Windows виртуальные машины для автоматического включения безопасной загрузки Настройте поддерживаемые Windows виртуальные машины, чтобы включить безопасную загрузку для устранения вредоносных и несанкционированных изменений в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. РазвернутьЕслиНеСуществует, Отключено 3.0.0-preview
[предварительная версия]: настройте поддерживаемые Windows виртуальные машины для автоматической установки расширения аттестации гостей Настройте поддерживаемые Windows виртуальные машины для автоматической установки расширения гостевой аттестации, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 5.1.0-preview
[предварительная версия]: настройте виртуальные машины, созданные с помощью образов Общая коллекция образов для установки расширения аттестации гостей Настройте виртуальные машины, созданные с помощью образов Общая коллекция образов, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 2.0.0-preview
[предварительная версия]: настройка VMSS, созданной с помощью образов Общая коллекция образов для установки расширения аттестации гостей Настройте VMSS, созданные с помощью образов Общая коллекция образов, чтобы автоматически установить расширение аттестации гостей, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. Целостность загрузки будет подтверждаться с помощью удаленной аттестации. РазвернутьЕслиНеСуществует, Отключено 2.1.0-preview
[предварительная версия]: развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux Развертывание агента Microsoft Defender для конечной точки на гибридных компьютерах Linux Развернуть, если не существует, Проверить, если не существует, Отключено 2.0.1-preview
[предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Linux Развертывает агент Microsoft Defender для конечной точки на применимых образах виртуальных машин Linux. Развернуть, если не существует, Проверить, если не существует, Отключено 3.0.0-preview
[предварительная версия]: развертывание агента Microsoft Defender для конечной точки на Windows Azure Arc компьютерах Развертывает Microsoft Defender для конечной точки на Windows Azure Arc компьютерах. Развернуть, если не существует, Проверить, если не существует, Отключено 2.0.1-preview
[предварительная версия]: развертывание агента Microsoft Defender для конечной точки на виртуальных машинах Windows Развертывает Microsoft Defender для конечной точки на применимых Windows образах виртуальных машин. Развернуть, если не существует, Проверить, если не существует, Отключено 2.0.1-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Linux должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых виртуальных машинах Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным виртуальным машинам Linux. AuditIfNotExists, отключено 6.0.0-preview
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Linux должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин Linux, чтобы позволить Центр безопасности Azure заранее подтвердить и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к масштабируемым наборам доверенных запусков и конфиденциальных виртуальных машин Linux. AuditIfNotExists, отключено 5.1.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых виртуальных машинах, чтобы разрешить Центр безопасности Azure упреждающее подтверждение и мониторинг целостности загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. AuditIfNotExists, отключено 4.0.0-preview
[Предварительная версия]. На поддерживаемых масштабируемых наборах виртуальных машин Windows должно быть установлено расширение аттестации гостей Установите расширение аттестации гостей на поддерживаемых масштабируемых наборах виртуальных машин, чтобы позволить Центр безопасности Azure заранее тестировать и отслеживать целостность загрузки. После установки целостность загрузки будет подтверждаться с помощью удаленной аттестации. Эта оценка применяется к доверенным запускам и конфиденциальным Windows масштабируемым наборам виртуальных машин. AuditIfNotExists, отключено 3.1.0-preview
[предварительная версия]: виртуальные машины Linux должны использовать только подписанные и доверенные компоненты загрузки Все компоненты загрузки ОС (загрузчик, ядро, драйверы ядра) должны быть подписаны доверенными издателями. Defender для облака определили ненадежные компоненты загрузки ОС на одном или нескольких компьютерах Linux. Чтобы защитить компьютеры от потенциально вредоносных компонентов, добавьте их в список разрешений или удалите обнаруженные компоненты. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. Виртуальные машины Linux должны использовать безопасную загрузку Для защиты от установки rootkit-программ и комплектов загрузки на основе вредоносного ПО и буткитов, включите безопасную загрузку на поддерживаемых виртуальных машинах Linux. Безопасная загрузка гарантирует, что будет разрешаться запуск только подписанных операционных систем и драйверов. Эта оценка применяется только к виртуальным машинам Linux с установленным агентом Azure Monitor. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. На компьютерах должны быть закрыты порты, которые могут раскрывать векторы атаки Условия использования Azure запрещают использование служб Azure способами, которые могут повредить, отключить, перезагрузить или овредить любой сервер Microsoft или сеть. Для обеспечения безопасности открытые порты, выявленные этой рекомендацией, необходимо закрыть. Для каждого обнаруженного порта в рекомендации также содержится пояснение потенциальной угрозы. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах Windows должна быть включена безопасная загрузка Включите безопасную загрузку на поддерживаемых Windows виртуальных машинах, чтобы устранить вредоносные и несанкционированные изменения в цепочке загрузки. После включения могут выполняться только доверенные загрузчики, драйверы ядра и ядра. Эта оценка относится к доверенным запускам и конфиденциальным Windows виртуальным машинам. Аудит, отключено 4.0.0-preview
[Предварительная версия]. Аттестация гостя виртуальных машин должна находиться в работоспособном состоянии Аттестация гостя выполняется путем отправки доверенного журнала (TCGLog) на сервер аттестации. Сервер использует эти журналы для определения надежности компонентов загрузки. Эта оценка предназначена для выявления компромиссов в цепочке загрузки, которая может быть результатом заражения буткитом или руткитом. Эта оценка применяется только к надежным виртуальным машинам с включенным запуском, на которых установлено расширение аттестации гостя. AuditIfNotExists, отключено 1.0.0-preview
[Предварительная версия]. На поддерживаемых виртуальных машинах должен быть включен модуль vTPM Включение виртуального устройства TPM на поддерживаемых виртуальных машинах, чтобы упростить измеряемую загрузку и реализацию других функций безопасности ОС, для которых требуется доверенный платформенный модуль. После включения vTPM можно использовать для проверки целостности загрузки. Эта оценка применяется только к доверенным виртуальным машинам с включенным запуском. Аудит, отключено 2.0.0-preview
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, отключено 3.0.0
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Стандартная ценовая категория Центра безопасности Azure включает сканирование уязвимостей для виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть это средство для вас. AuditIfNotExists, отключено 3.0.0
Все сетевые порты должны быть ограничены группами безопасности сети, связанными с вашей виртуальной машиной Центр безопасности Azure определил, что некоторые входящие правила ваших групп безопасности сети слишком разрешительные. Правила настройки входящего трафика не должны разрешать доступ из диапазонов «Any» или «Internet». Это может позволить злоумышленникам нацеливать на ваши ресурсы. AuditIfNotExists, отключено 3.0.0
Конечные точки API в Azure Управление API должны проходить проверку подлинности Конечные точки API, опубликованные в Azure API Management, должны применять проверку подлинности, чтобы свести к минимуму риски безопасности. Механизмы проверки подлинности иногда реализуются неправильно или отсутствуют. Это позволяет злоумышленникам использовать недостатки реализации и access данных. Дополнительные сведения об угрозе API OWASP для неработаемой проверки подлинности пользователей см. здесь: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, отключено 1.0.1
Неиспользуемые конечные точки API должны быть отключены и удалены из службы Управления API Azure В качестве рекомендации по обеспечению безопасности конечные точки API, которые не получили трафик в течение 30 дней, считаются неиспользуемых и должны быть удалены из службы Azure API Management. Сохранение неиспользуемых конечных точек API может представлять угрозу безопасности для вашей организации. Это могут быть API, которые должны были быть устаревшими из службы Azure API Management, но могут быть случайно оставлены активными. Такие API обычно не получают наиболее актуального покрытия безопасности. AuditIfNotExists, отключено 1.0.1
Назначение назначенного системой удостоверения sql Виртуальные машины Назначьте назначенное системой удостоверение в масштабе для Windows виртуальных машин SQL. РазвернутьЕслиНеСуществует, Отключено 1.0.0
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Аудит, отключено 2.0.1
Azure защита от атак DDoS должна быть включена Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. AuditIfNotExists, отключено 3.0.1
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, отключено 1.0.3
Azure Defender для серверов База данных SQL Azure следует включить Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. AuditIfNotExists, отключено 1.0.2
Azure Defender для Key Vault следует включить Azure Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. AuditIfNotExists, отключено 1.0.3
Azure Defender для реляционных баз данных с открытым кодом следует включить Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. в https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, отключено 1.0.0
Azure Defender для Resource Manager следует включить Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender приводит к сбору. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, отключено 1.0.0
Azure Defender для серверов следует включить Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. AuditIfNotExists, отключено 1.0.3
Azure Defender для серверов SQL на компьютерах следует включить Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. AuditIfNotExists, отключено 1.0.2
Azure Defender для SQL следует включить для незащищенных гибких серверов MySQL Аудит гибких серверов MySQL без расширенной безопасности данных AuditIfNotExists, отключено 1.0.0
Azure Defender для SQL следует включить для незащищенных гибких серверов PostgreSQL Аудит гибких серверов PostgreSQL без расширенной безопасности данных AuditIfNotExists, отключено 1.0.0
Уязвимости образов контейнеров реестра Azure должны быть устранены (при поддержке Управления уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить безопасность, обеспечивая безопасность образов для использования до развертывания. AuditIfNotExists, отключено 1.0.1
Запущенные в Azure образы контейнеров должны иметь устраненные уязвимости (при поддержке Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера производит сканирование вашего реестра на наличие общепринятых уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация позволяет увидеть уязвимые образы, на данный момент работающие в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые находятся в работе, является ключевым шагом к улучшению вашей безопасности, значительно уменьшая поверхность атаки для контейнерных рабочих нагрузок. AuditIfNotExists, отключено 1.0.1
Блокированные учетные записи с разрешениями владельца на ресурсы Azure должны быть удалены Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, отключено 1.0.0
Блокированные учетные записи с разрешениями на чтение и запись для ресурсов Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, отключено 1.0.0
Расширение ChangeTracking должно быть установлено на масштабируемых наборах виртуальных машин Linux Установите расширение ChangeTracking в масштабируемых наборах виртуальных машин Linux, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 2.0.1
расширение ChangeTracking должно быть установлено в масштабируемых наборах виртуальных машин Windows Установите расширение ChangeTracking на Windows масштабируемых наборов виртуальных машин, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом мониторинга Azure. AuditIfNotExists, отключено 2.0.1
Экземпляры ролей облачных служб (расширенная поддержка) должны быть надежно настроены Защитите экземпляры ролей облачных служб (расширенная поддержка) от атак, убедившись, что они не подвержены уязвимостям в ОС. AuditIfNotExists, отключено 1.0.0
Для экземпляров ролей облачных служб (расширенная поддержка) должны быть установлены обновления системы Защитите экземпляры ролей облачных служб (расширенная поддержка), установив для них последние обновления безопасности и важные обновления. AuditIfNotExists, отключено 1.0.0
Configure Advanced Threat Protection для гибкого сервера MySQL в базе данных Azure Включите Advanced Threat Protection в базе данных Azure для гибких серверов MySQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Настройка Advanced Threat Protection в базе данных Azure для гибких серверов PostgreSQL Включите Advanced Threat Protection в базе данных Azure для гибких серверов PostgreSQL для обнаружения аномальных действий, указывающих на необычные и потенциально опасные попытки доступа к базам данных или эксплойтирования. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Configure Arc Server для автоматической установки агента Azure Monitor Автоматизация развертывания расширения агента Azure Monitor на Windows серверах SQL Server с поддержкой Arc. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. РазвернутьЕслиНеСуществует, Отключено 1.3.0
Настройка SQL Server с поддержкой Arc для автоматической установки Microsoft Defender для SQL Настройте Windows СЕРВЕРы SQL Server с поддержкой Arc, чтобы автоматически установить Microsoft Defender для агента SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). РазвернутьЕслиНеСуществует, Отключено 1.2.0
Настройте серверы SQL с поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR в рабочей области Log Analytics Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и Log Analytics рабочую область в том же регионе, что и компьютер. РазвернутьЕслиНеСуществует, Отключено 1.6.0
Настройка серверов SQL с включенной поддержкой Arc для автоматической установки Microsoft Defender для SQL и DCR с пользовательской рабочей областью LA Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. РазвернутьЕслиНеСуществует, Отключено 1.8.0
Настройка SQL Server с поддержкой Arc с ассоциацией правил сбора данных для Microsoft Defender для SQL DCR Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Настройка SQL-серверов с поддержкой Arc с сопоставлением правила сбора данных с пользовательской DCR в Microsoft Defender для SQL Настройте связь между серверами SQL с поддержкой Arc и Microsoft Defender для определяемого пользователем DCR SQL. Удаление этой связи приведет к разрыву обнаружения уязвимостей системы безопасности для этих серверов SQL с поддержкой Arc. РазвернутьЕслиНеСуществует, Отключено 1.3.0
Настройте Azure Defender для Службы приложений, чтобы включить его Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. РазвернутьЕслиНеСуществует, Отключено 1.0.1
Настройте Azure Defender для включения базы данных Azure SQL Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. РазвернутьЕслиНеСуществует, Отключено 1.0.1
Configure Azure Defender для включения реляционных баз данных с открытым исходным кодом Azure Defender для реляционных баз данных с открытым кодом обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. Дополнительные сведения о возможностях Azure Defender для реляционных баз данных с открытым кодом см. в https://aka.ms/AzDforOpenSourceDBsDocu. Важно! Включение этого плана приведет к начислению платы за защиту реляционных баз данных с открытым кодом. Узнать о ценах можно на странице цен на Центр безопасности: https://aka.ms/pricing-security-center. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Azure Defender для включения Resource Manager Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и оповещения о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager см. в https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender приводит к сбору. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Configure Azure Defender для включения серверов Azure Defender для серверов обеспечивает защиту от угроз в режиме реального времени для рабочих нагрузок сервера и создает рекомендации по защите, а также оповещения о подозрительных действиях. РазвернутьЕслиНеСуществует, Отключено 1.0.1
Configure Azure Defender для серверов SQL на компьютерах Azure Defender для SQL предоставляет функциональные возможности для поиска и устранения потенциальных уязвимостей базы данных, обнаружения аномальных действий, которые могут указывать на угрозы базам данных SQL, а также обнаружение и классификацию конфиденциальных данных. РазвернутьЕслиНеСуществует, Отключено 1.0.1
Настройка базовых Microsoft Defender для хранения (только мониторинг активности) Microsoft Defender для хранилищ обеспечивает нативное для Azure обнаружение угроз для учетных записей хранения. Эта политика включает основные функции (мониторинг активности). Для полной защиты, включая сканирование вредоносных программ и обнаружение конфиденциальных данных, используйте aka.ms/DFStoragePolicy. Обновление основной версии: PerTransaction больше не поддерживается для новых включений после 5 февраля 2025 г. Существующие учетные записи, использующие ее, остаются поддерживаемыми. Дополнительные сведения: aka.ms/DF-Storage/NewPlanMigration. РазвернутьЕслиНеСуществует, Отключено 2.0.0
Настройка расширения ChangeTracking для компьютеров Linux Arc Настройте компьютеры Linux Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.1.0
Настройка расширения ChangeTracking для масштабируемых наборов виртуальных машин Linux Настройте масштабируемые наборы виртуальных машин Linux для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.1.0
Настройка расширения ChangeTracking для виртуальных машин Linux Настройте виртуальные машины Linux для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.2.0
Настройка расширения ChangeTracking для компьютеров Windows Arc Настройте компьютеры Windows Arc для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.1.0
Настройка расширения ChangeTracking для масштабируемых наборов Windows виртуальных машин Настройте масштабируемые наборы Windows виртуальных машин для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.1.0
Настройка расширения ChangeTracking для виртуальных машин Windows Настройте Windows виртуальные машины для автоматической установки расширения ChangeTracking, чтобы включить мониторинг целостности файлов (FIM) в Центр безопасности Azure. FIM проверяет файлы операционной системы, Windows реестры, программное обеспечение приложений, системные файлы Linux и многое другое для изменений, которые могут указывать на атаку. Расширение можно установить на виртуальных машинах и расположениях, поддерживаемых агентом Azure Monitor. РазвернутьЕслиНеСуществует, Отключено 2.2.0
Настройка компьютеров для получения поставщика оценки уязвимостей Azure Defender включает сканирование уязвимостей для компьютеров без дополнительных затрат. Вам не потребуется лицензия или учетная запись Qualys: вся обработка выполняется в Центре безопасности. При включении этой политики Azure Defender автоматически развертывает поставщик оценки уязвимостей Qualys на всех поддерживаемых компьютерах, которые еще не установлены. РазвернутьЕслиНеСуществует, Отключено 4.0.0
план Configure Microsoft Defender CSPM Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender CSPM для включения Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. РазвернутьЕслиНеСуществует, Отключено 1.0.2
Выполните настройку, чтобы включить Microsoft Defender для Azure Cosmos DB Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки эксплойтировать базы данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе Microsoft аналитики угроз, подозрительных шаблонов доступа и потенциальных эксплуатации базы данных с помощью скомпрометированных удостоверений или вредоносных инсайдеров. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender для плана контейнеров Новые возможности постоянно добавляются в Defender для плана контейнеров, который может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. РазвернутьЕслиНеСуществует, Отключено 1.6.0
Настроить включение Microsoft Defender для контейнеров Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. РазвернутьЕслиНеСуществует, Отключено 1.0.1
Configure Microsoft Defender для конечной точки интеграции с Microsoft Defender для облака (WDATP_EXCLUDE_LINUX...) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известном как WDATP_EXCLUDE_LINUX_...) для включения автоматической подготовки MDE для серверов Linux. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender для конечной точки интеграции с параметрами интеграции Microsoft Defender для облака (WDATP_UNIFIED_SOLUTION) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известных как WDATP_UNIFIED_SOLUTION) для включения автоматической подготовки единого агента MDE для Windows Server 2012R2 и 2016. Для применения этого параметра необходимо включить параметр WDATP. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Настройка Microsoft Defender для конечной точки параметров интеграции с Microsoft Defender для облака (WDATP) Настраивает параметры интеграции Microsoft Defender для конечной точки в Microsoft Defender для облака (также известном как WDATP) для Windows компьютеров с нижней версией, подключенных к MDE с помощью MMA, и автоматической подготовки MDE на Windows Server 2019 . Windows виртуальный рабочий стол и более поздние версии. Необходимо включить, чтобы другие параметры (WDATP_UNIFIED и т. д.) работали. См. https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint дополнительные сведения. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender для плана Key Vault Microsoft Defender для Key Vault обеспечивает дополнительный уровень защиты и аналитики безопасности путем обнаружения необычных и потенциально опасных попыток доступа к учетным записям key vault. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Configure Microsoft Defender для плана серверов Новые возможности постоянно добавляются в Defender для серверов, что может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender для плана серверов (P1 ИЛИ P2) Убедитесь, что выбранный Microsoft Defender для подплана серверов (P1 или P2) включен на уровне подписки. Эта политика поддерживает динамический выбор с помощью параметров и применяет развертывание, если оно еще не настроено. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Configure Microsoft Defender для SQL для включения в рабочих областях Synapse Включите Microsoft Defender для SQL в рабочих областях Azure Synapse, чтобы обнаружить аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базам данных SQL или эксплойтации. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Configure Microsoft Defender для службы хранилища Microsoft Defender для хранилища — это собственный уровень аналитики безопасности Azure, который обнаруживает потенциальные угрозы для учетных записей хранения. Эта политика включает все Defender для возможностей хранилища; Мониторинг активности, сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Дополнительные сведения о Defender возможностях и преимуществах хранилища см. в aka.ms/DefenderForStorage. РазвернутьЕслиНеСуществует, Отключено 1.5.0
Настройка защиты от угроз в Microsoft Defender для служб ИИ Новые возможности постоянно добавляются в защиту от угроз для служб ИИ, что может потребовать явного включения пользователя. Используйте эту политику, чтобы убедиться, что все новые возможности будут включены. РазвернутьЕслиНеСуществует, Отключено 1.1.0
Configure SQL Виртуальные машины для автоматической установки агента Azure Monitor Автоматизация развертывания расширения агента Azure Monitor в Windows SQL Виртуальные машины. Дополнительные сведения см. на странице https://aka.ms/AMAOverview. РазвернутьЕслиНеСуществует, Отключено 1.6.0
Configure SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL Настройте Windows SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). РазвернутьЕслиНеСуществует, Отключено 1.6.0
Настройка SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с рабочей областью Log Analytics Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов, правило сбора данных и Log Analytics рабочую область в том же регионе, что и компьютер. РазвернутьЕслиНеСуществует, Отключено 1.9.0
Configure SQL Виртуальные машины для автоматической установки Microsoft Defender для SQL и DCR с определяемой пользователем рабочей областью LA Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и правило сбора данных в том же регионе, что и определяемая пользователем рабочая область Log Analytics. РазвернутьЕслиНеСуществует, Отключено 1.10.0
Configure SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL Настройте Windows SQL Виртуальные машины для автоматической установки Microsoft Defender расширения SQL. Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). РазвернутьЕслиНеСуществует, Отключено 1.0.0
Настройка рабочей области Microsoft Defender для Log Analytics для SQL Microsoft Defender для SQL собирает события от агента и использует их для предоставления оповещений системы безопасности и специализированных задач защиты (рекомендаций). Создайте группу ресурсов и Log Analytics рабочую область в том же регионе, что и компьютер. РазвернутьЕслиНеСуществует, Отключено 1.5.0
Создание и назначение встроенного управляемого удостоверения, назначаемого пользователем Создайте и назначьте встроенное управляемое удостоверение, назначаемое пользователем, в масштабе виртуальных машин SQL. AuditIfNotExists, DeployIfNotExists, Disabled (Отключено) 1.8.0
Deploy — настройка правил подавления для оповещений Центр безопасности Azure Подавляйте оповещения Центр безопасности Azure для уменьшения усталости оповещений путем развертывания правил подавления в группе управления или подписке. deployIfNotExists 1.0.0
Deploy экспорт в Концентратор событий в качестве доверенной службы для Microsoft Defender для облака данных Включите экспорт в Концентратор событий в качестве доверенной службы Microsoft Defender для облака данных. Эта политика развертывает экспорт в Концентратор событий в качестве доверенной конфигурации службы с условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. РазвернутьЕслиНеСуществует, Отключено 1.0.0
экспорт Deploy в Концентратор событий для Microsoft Defender для облака данных Включите экспорт в Концентратор событий Microsoft Defender для облака данных. Эта политика отвечает за развертывание экспортированных данных в конфигурации концентратора событий с заданными вами условиями и целевым концентратором событий в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 4.2.0
экспорт Deploy в рабочую область Log Analytics для данных Microsoft Defender для облака Включите экспорт в рабочую область Log Analytics данных Microsoft Defender для облака. Эта политика развертывает экспорт в Log Analytics конфигурации рабочей области с условиями и целевой рабочей областью в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 4.1.0
Развертывание автоматизации рабочих процессов для получения оповещений из Microsoft Defender для облака Включите автоматизацию оповещений Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Разверните автоматизацию рабочих процессов для рекомендаций Microsoft Defender для облака Включите автоматизацию рекомендаций Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Deploy Workflow Automation Microsoft Defender для облака для соответствия нормативным требованиям Включите автоматизацию соответствия нормативным требованиям Microsoft Defender для облака. Эта политика отвечает за развертывание средств автоматизации рабочих процессов с заданными вами условиями и активируется в назначенной области. Чтобы развернуть эту политику в новой подписке, откройте вкладку соответствия, выберите подходящее назначение о несоответствии и создайте задачу исправления. deployIfNotExists 5.0.1
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, отключено 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, отключено 2.1.0
Enable Microsoft Defender для облака в подписке Определяет существующие подписки, которые не отслеживаются Microsoft Defender для облака и защищают их с помощью бесплатных функций Defender для облака. Подписки, которые уже отслеживаются, считаются соответствующими требованиям. Чтобы зарегистрировать только что созданные подписки, откройте вкладку "Соответствие", выберите нужное назначение, не соответствующее требованиям, и создайте задачу исправления. deployIfNotExists 1.0.1
Автоматическая подготовка агента Log Analytics в подписках с помощью пользовательской рабочей области. Разрешить Центру безопасности автоматически подготавливать агент Log Analytics в подписках для отслеживания и сбора данных безопасности с помощью настраиваемой рабочей области. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Автоматическая подготовка агента Log Analytics в подписках с помощью рабочей области по умолчанию. Разрешить Центру безопасности автоматически подготавливать агент Log Analytics в подписках для отслеживания и сбора данных безопасности с помощью рабочей области ASC по умолчанию. РазвернутьЕслиНеСуществует, Отключено 1.0.0
Включение защиты от угроз для рабочих нагрузок ИИ Microsoft защита от угроз для рабочих нагрузок искусственного интеллекта предоставляет контекстуализированные оповещения системы безопасности на основе доказательств, направленные на защиту домашних созданных приложений с использованием искусственного интеллекта РазвернутьЕслиНеСуществует, Отключено 1.0.0
Guest с разрешениями владельца на Azure ресурсы следует удалить Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
учетные записи Guest с разрешениями на чтение ресурсов Azure следует удалить Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
учетные записи Guest с разрешениями на запись для ресурсов Azure следует удалить Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, отключено 1.0.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки будут доступны политики в режиме гостя, такие как "Защита от уязвимостей Windows должна быть включена". Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, отключено 1.0.3
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, отключено 3.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, отключено 3.0.0
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. Аудит, отключено 1.0.2
Для экземпляров ролей облачных служб (расширенная поддержка) должен быть установлен агент Log Analytics Центр безопасности собирает данные из экземпляров ролей облачных служб (расширенная поддержка) для отслеживания угроз и уязвимостей в системе безопасности. AuditIfNotExists, отключено 2.0.0
Компьютеры должны иметь разрешенные секретные выводы Проверяет виртуальные машины, чтобы определить, содержат ли они секретные выводы из решений для сканирования секретов на виртуальных машинах. AuditIfNotExists, отключено 1.0.2
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный доступ к сети JIT будет отслеживаться Центр безопасности Azure в качестве рекомендаций AuditIfNotExists, отключено 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод грубой силы для подбора учетных данных, чтобы получить административный доступ к машине. AuditIfNotExists, отключено 3.0.0
Microsoft Defender CSPM следует включить Defender Cloud Security Posture Management (CSPM) предоставляет расширенные возможности размещения и новый интеллектуальный граф облачной безопасности для выявления, приоритета и снижения риска. Defender CSPM доступен в дополнение к возможностям бесплатной базовой безопасности, включенным по умолчанию в Defender для облака. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для ИИ-служб следует включить Выполните аудит, чтобы узнать, включена ли Microsoft Defender для ИИ-служб в подписке. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для API следует включить Microsoft Defender для API обеспечивает новое обнаружение, защиту, обнаружение и освещение ответов для отслеживания распространенных атак на основе API и неправильной настройки безопасности. AuditIfNotExists, отключено 1.0.3
Microsoft Defender для Azure Cosmos DB следует включить Microsoft Defender для Azure Cosmos DB — это собственный уровень безопасности Azure, который обнаруживает попытки эксплойтировать базы данных в учетных записях Azure Cosmos DB. Defender для Azure Cosmos DB обнаруживает потенциальные внедрения SQL, известные плохие субъекты на основе Microsoft аналитики угроз, подозрительных шаблонов доступа и потенциальных эксплуатации базы данных с помощью скомпрометированных удостоверений или вредоносных инсайдеров. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для контейнеров следует включить Microsoft Defender для контейнеров обеспечивает защиту, оценку уязвимостей и защиту во время выполнения для Azure, гибридных и многооблачных сред Kubernetes. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для SQL следует включить для незащищенных рабочих областей Synapse Включите Defender для SQL для защиты рабочих областей Synapse. Defender для SQL отслеживает аномальные действия Synapse SQL, указывающие на необычные и потенциально опасные попытки доступа к базам данных или эксплойты. AuditIfNotExists, отключено 1.0.0
Microsoft Defender для хранилища следует включить Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новая Defender плана хранения включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, отключено 1.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, отключено 3.0.0
Role-Based контроль доступа (RBAC) следует использовать в службах Kubernetes Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте Role-Based контроль доступа (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройки соответствующих политик авторизации. Аудит, отключено 1.1.0
Нужно выбрать Центр безопасности с ценовой категорией "Стандартный" Стандартная ценовая категория обеспечивает обнаружение угроз для сетей и виртуальных машин, предоставляя аналитику угроз, обнаружение аномалий и аналитику поведения в Центр безопасности Azure Аудит, отключено 1.1.0
Настройка подписок для перехода на альтернативное решение для оценки уязвимостей Microsoft Defender для облачных служб обеспечивает сканирование уязвимостей для компьютеров без дополнительных затрат. Включение этой политики приведет к автоматическому распространению результатов из встроенного решения по управлению уязвимостями Microsoft Defender на всех поддерживаемых компьютерах Defender для облака. РазвернутьЕслиНеСуществует, Отключено 1.0.0-preview
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, отключено 4.1.0
Автоматическая подготовка, ориентированная на SQL Server, должна быть включена для серверов в соответствии с планом использования машин. Чтобы обеспечить защиту виртуальных машин SQL и серверов SQL с поддержкой Arc, убедитесь, что агент мониторинга Azure, предназначенный для SQL, настроен для автоматического развертывания. Это также необходимо, если вы ранее настроили автоконфигурацию агента Microsoft Monitoring Agent, так как этот компонент устаревает. Подробнее: https://aka.ms/SQLAMAMigration AuditIfNotExists, отключено 1.0.0
SQL-серверы на машинах должны иметь устранённые уязвимости Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. AuditIfNotExists, отключено 1.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). ГСБ содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в вашу подсеть. AuditIfNotExists, отключено 3.0.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, отключено 1.0.1
На компьютерах должны быть установлены обновления системы (на базе Центра обновления) На ваших компьютерах отсутствуют системные, защитные и критически важные обновления. Обновления программного обеспечения часто содержат критически важные исправления для уязвимостей в системе безопасности. Такие уязвимости часто используются в атаках вредоносных программ, поэтому программное обеспечение крайне важно обновлять. Чтобы установить все актуальные исправления и защитить компьютеры, выполните действия по исправлению. AuditIfNotExists, отключено 1.0.1
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, отключено 3.0.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure, подпадающие под действие этой политики, будут несоответствующими, если у них установлено расширение гостевой конфигурации, но отсутствует системно назначенное управляемое удостоверение. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, отключено 1.0.1

Дальнейшие действия

В этой статье вы узнали о определениях политик безопасности Политика Azure в Defender для облака. Дополнительные сведения о инициативах, политиках и их связи с рекомендациями Defender для облака см. в статье Несколько политик безопасности, инициатив и рекомендаций?.