Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям согласуется с областями соответствия нормативным требованиям и мерами безопасности в стандарте NIST SP 800-53, ред. 5 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия см. здесь. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.
Ниже показано, как эффекты встроенной инициативы согласуются с мерами безопасности, предусмотренными NIST SP 800-53, ред. 5. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы NIST SP 800-53 ред. 5 по обеспечению соответствия нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Управление доступом
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AC-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1000, контролируемый корпорацией Майкрософт, — требования политики и процедур управления доступом | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1001, контролируемый корпорацией Майкрософт, — требования политики и процедур управления доступом | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Управление учетными записями
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, отключено | 3.0.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, отключено | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, отключено | 1.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, отключено | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, отключено | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, отключено | 1.0.0 |
| Элемент управления 1002, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1003, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1004, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1005, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1006, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1007, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1008, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1009, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1010, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1011, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1012, контролируемый корпорацией Майкрософт, — управление учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1022, контролируемый корпорацией Майкрософт, — управление учетными записями | Прекращение действия учетных данных общих или групповых учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
Автоматическое управление системными учетными записями
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Элемент управления 1013, контролируемый корпорацией Майкрософт, — управление учетными записями | Автоматическое управление системными учетными записями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
Автоматическое управление временными и аварийными учетными записями
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1014, контролируемый корпорацией Майкрософт, — управление учетными записями | Удаление временных или аварийных учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Отключение учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1015, контролируемый корпорацией Майкрософт, — управление учетными записями | Отключение неактивных учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Автоматические действия по аудиту
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1016, контролируемый корпорацией Майкрософт, — управление учетными записями | Автоматические действия по аудиту | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Выход из системы при бездействии
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1017, контролируемый корпорацией Майкрософт, — управление учетными записями | Выход из системы при бездействии | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Учетные записи привилегированных пользователей
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (7) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Элемент управления 1018, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1019, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1020, контролируемый корпорацией Майкрософт, — управление учетными записями | Схемы на основе ролей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
Ограничения на использование общих и групповых учетных записей
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (9) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1021, контролируемый корпорацией Майкрософт, — управление учетными записями | Ограничения на использование общих или групповых учетных записей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Условия использования
Идентификатор: NIST SP 800-53 ред. 5 AC-2 (11) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1023, контролируемый корпорацией Майкрософт, — управление учетными записями | Условия использования | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Отслеживание необычного использования учетной записи
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (12) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, отключено | 3.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1024, контролируемый корпорацией Майкрософт, — управление учетными записями | Мониторинг или необычное использование учетной записи | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1025, контролируемый корпорацией Майкрософт, — управление учетными записями | Мониторинг или необычное использование учетной записи | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Отключение учетных записей для пользователей с высоким риском
Идентификатор: NIST SP 800-53 Rev. 5 AC-2 (13) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1026, контролируемый корпорацией Майкрософт, — управление учетными записями | Отключение учетных записей для пользователей с высоким риском | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Применение доступа
Идентификатор: NIST SP 800-53 Rev. 5 AC-3 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, отключено | 1.4.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.4.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1027, контролируемый корпорацией Майкрософт, — применение доступа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Аудит, отказ в доступе, отключено | 1.0.0 |
Управление доступом на основе ролей
Идентификатор: NIST SP 800-53 ред. 5 AC-3 (7) Владение: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Аудит, отключено | 1.1.0 |
Управление потоком информации
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: служба Azure AI должен использовать приватный канал. | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с поиском ИИ Azure риски утечки данных снижаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отключено | 1.0.2-устаревший |
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Аудит, отключено | 3.0.1-устаревший |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Аудит, отказ в доступе, отключено | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, отключено | 1.0.2 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, отключено | 2.0.0 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, отключено | 2.0.0 |
| Azure AI служба должен использовать номер SKU, поддерживающий приватный канал. | С поддерживаемыми номерами SKU службы поиска ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Служба Azure AI должен отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure AI не предоставляется в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Аудит, отказ в доступе, отключено | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Аудит, отказ в доступе, отключено | 2.1.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Хранилище ключей Azure должно включать брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр хранилища ключей, чтобы хранилище ключей по умолчанию не было доступно для общедоступных IP-адресов или отключите доступ к общедоступной сети для хранилища ключей, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink | Аудит, отказ в доступе, отключено | 1.5.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Аудит, отключено | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Аудит, отключено | 1.0.1 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/privatelink и . | Аудит, отказ в доступе, отключено | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Аудит, отключено | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Аудит, отключено | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1028, контролируемый корпорацией Майкрософт, — управление потоком информации | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Аудит, отключено | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, отключено | 3.0.0 |
Управление динамическим потоком информации
Идентификатор: NIST SP 800-53 ред. 5 AC-4 (3) Ответственность: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, отключено | 3.0.0 |
Фильтры политики безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1029, контролируемый корпорацией Майкрософт, — управление потоком информации | Фильтры политики безопасности | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Физическое или логическое разделение информационных потоков
Идентификатор: NIST SP 800-53 Rev. 5 AC-4 (21) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1030, контролируемый корпорацией Майкрософт, — управление потоком информации | Физическое и логическое разделение информационных потоков | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Разделение обязанностей
Идентификатор: NIST SP 800-53 Rev. 5 AC-5 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1031, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1032, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1033, контролируемый корпорацией Майкрософт, — разделение обязанностей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, отключено | 3.0.0 |
Минимальные привилегии
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, отключено | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| Элемент управления 1034, контролируемый корпорацией Майкрософт, — минимальные привилегии | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Авторизация доступа к функциям безопасности
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1035, контролируемый корпорацией Майкрософт, — минимальные привилегии | Авторизация доступа к функциям безопасности | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Непривилегированный доступ для функций, не связанных с безопасностью
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1036, контролируемый корпорацией Майкрософт, — минимальные привилегии | Непривилегированный доступ для функций, не связанных с безопасностью | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Сетевой доступ к привилегированным командам
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (3) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1037, контролируемый корпорацией Майкрософт, — минимальные привилегии | Сетевой доступ к привилегированным командам | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Привилегированные учетные записи
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1038, контролируемый корпорацией Майкрософт, — минимальные привилегии | Привилегированные учетные записи | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Проверка привилегий пользователя
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (7) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, отключено | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Аудит, отключено | 1.0.1 |
| Элемент управления 1039, контролируемый корпорацией Майкрософт, — минимальные привилегии | Проверка привилегий пользователя | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1040, контролируемый корпорацией Майкрософт, — минимальные привилегии | Проверка привилегий пользователя | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Уровни привилегий для выполнения кода
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1041, контролируемый корпорацией Майкрософт, — минимальные привилегии | Уровни привилегий для выполнения кода | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Регистрация использования привилегированных функций
Идентификатор: NIST SP 800-53 Rev. 5 AC-6 (9) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1042, контролируемый корпорацией Майкрософт, — минимальные привилегии | Аудит использования привилегированных функций | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Запрет выполнения привилегированных функций непривилегированными пользователями
Идентификатор: NIST SP 800-53 ред. 5 AC-6 (10) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1043, контролируемый корпорацией Майкрософт, — минимальные привилегии | Запрет выполнения привилегированных функций непривилегированными пользователями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Неудачные попытки входа
Идентификатор: NIST SP 800-53 Rev. 5 AC-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1044, контролируемый корпорацией Майкрософт, — неудачные попытки входа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1045, контролируемый корпорацией Майкрософт, — неудачные попытки входа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Очистка мобильных устройств
Идентификатор: NIST SP 800-53 ред. 5 AC-7 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1046, контролируемый корпорацией Майкрософт, — неудачные попытки входа в систему | Очистка мобильного устройства | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Уведомление об использовании системы
Идентификатор: NIST SP 800-53 ред. 5 AC-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1047, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1048, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1049, контролируемый корпорацией Майкрософт, — уведомление об использовании системы | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Контроль одновременных сеансов
Идентификатор: NIST SP 800-53 Rev. 5 AC-10 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1050, контролируемый корпорацией Майкрософт, — контроль одновременных сеансов | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Блокировка устройства
Идентификатор: NIST SP 800-53 ред. 5 AC-11 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1051, контролируемый корпорацией Майкрософт, — блокировка сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1052, контролируемый корпорацией Майкрософт, — блокировка сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Скрытие отображаемой информации при помощи шаблонов
Идентификатор: NIST SP 800-53 ред. 5 AC-11 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1053, контролируемый корпорацией Майкрософт, — блокировка сеанса | Скрытие отображаемой информации при помощи шаблонов | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Завершение сеанса
Идентификатор: NIST SP 800-53 Rev. 5 AC-12 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1054, контролируемый корпорацией Майкрософт, — завершение сеанса | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Выход из системы, инициированный пользователем
Идентификатор: NIST SP 800-53 Rev. 5 AC-12 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1055, контролируемый корпорацией Майкрософт, — завершение сеанса | Инициированные пользователем выходы или отображаемые сообщения | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1056, контролируемый корпорацией Майкрософт, — завершение сеанса | Инициированные пользователем выходы или отображаемые сообщения | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Разрешенные действия без идентификации и проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 AC-14 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1057, контролируемый корпорацией Майкрософт, — разрешенные действия без идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1058, контролируемый корпорацией Майкрософт, — разрешенные действия без идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Атрибуты безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 ред. 5 AC-16 Ответственность: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
Удаленный доступ
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: служба Azure AI должен использовать приватный канал. | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с поиском ИИ Azure риски утечки данных снижаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отключено | 1.0.2-устаревший |
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Аудит, отключено | 3.0.1-устаревший |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, отключено | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, отключено | 1.4.0 |
| Azure AI служба должен использовать номер SKU, поддерживающий приватный канал. | С поддерживаемыми номерами SKU службы поиска ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Аудит, отключено | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Аудит, отключено | 1.0.1 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Аудит, отключено | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.2.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Аудит, отключено | 1.0.0 |
| Элемент управления 1059, контролируемый корпорацией Майкрософт, — удаленный доступ | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1060, контролируемый корпорацией Майкрософт, — удаленный доступ | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Аудит, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
Мониторинг и контроль
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: служба Azure AI должен использовать приватный канал. | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с поиском ИИ Azure риски утечки данных снижаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отключено | 1.0.2-устаревший |
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Аудит, отключено | 3.0.1-устаревший |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, отключено | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, отключено | 1.4.0 |
| Azure AI служба должен использовать номер SKU, поддерживающий приватный канал. | С поддерживаемыми номерами SKU службы поиска ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Аудит, отключено | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Аудит, отключено | 1.0.1 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Аудит, отключено | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.2.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Аудит, отключено | 1.0.0 |
| Элемент управления 1061, контролируемый корпорацией Майкрософт, — удаленный доступ | Автоматизированный мониторинг и управление | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Аудит, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
Защита конфиденциальности и целостности с помощью шифрования
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1062, контролируемый корпорацией Майкрософт, — удаленный доступ | Защита конфиденциальности и целостности с помощью шифрования | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Управляемые точки управления доступом
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1063, контролируемый корпорацией Майкрософт, — удаленный доступ | Управляемые точки контроля доступа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Привилегированные команды и доступ
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1064, контролируемый корпорацией Майкрософт, — удаленный доступ | Привилегированные команды и доступ | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1065, контролируемый корпорацией Майкрософт, — удаленный доступ | Привилегированные команды и доступ | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Отключение или запрет доступа
Идентификатор: NIST SP 800-53 Rev. 5 AC-17 (9) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1066, контролируемый корпорацией Майкрософт, — удаленный доступ | Отключение и запрет доступа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Беспроводной доступ
Идентификатор: NIST SP 800-53 ред. 5 AC-18 Ownership: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1067, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1068, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Проверка подлинности и шифрование
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1069, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Проверка подлинности и шифрование | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Отключение беспроводных сетей
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (3) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1070, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Отключение беспроводных сетей | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Ограничение конфигураций, используемых пользователями
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (4) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1071, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Ограничение конфигураций, настраиваемых пользователями | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Антенны и уровни мощности передачи
Идентификатор: NIST SP 800-53 ред. 5 AC-18 (5) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1072, контролируемый корпорацией Майкрософт, — ограничения беспроводного доступа | Антенны и уровни мощности передачи | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Управление доступом мобильных устройств
Идентификатор: NIST SP 800-53 Rev. 5 AC-19 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1073, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1074, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Шифрование всего устройства или контейнера
Идентификатор: NIST SP 800-53 ред. 5 AC-19 (5) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1075, контролируемый корпорацией Майкрософт, — контроль доступа для переносимых и мобильных систем | Шифрование всего устройства или контейнера | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Использование внешних систем
Идентификатор: NIST SP 800-53 ред. 5 AC-20 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1076, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1077, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Ограничения на авторизованное использование
Идентификатор: NIST SP 800-53 ред. 5 AC-20 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1078, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Ограничения на авторизованное использование | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1079, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Ограничения на авторизованное использование | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Переносные запоминающие устройства и ограничения на использование
Идентификатор: NIST SP 800-53 ред. 5 AC-20 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1080, контролируемый корпорацией Майкрософт, — использование внешних информационных систем | Переносные запоминающие устройства | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Обмен информацией
Идентификатор: NIST SP 800-53 ред. 5 AC-21 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1081, контролируемый корпорацией Майкрософт, — обмен информацией | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1082, контролируемый корпорацией Майкрософт, — обмен информацией | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Общедоступное содержимое
Идентификатор: NIST SP 800-53 Rev. 5 AC-22 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1083, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1084, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1085, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
| Элемент управления 1086, контролируемый корпорацией Майкрософт, — общедоступное содержимое | Корпорация Майкрософт реализует этот элемент управления доступом | аудит | 1.0.0 |
Повышение осведомленности и обучение
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AT-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1087, контролируемый корпорацией Майкрософт, — политика и процедуры повышения осведомленности по вопросам безопасности и обучения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1088, контролируемый корпорацией Майкрософт, — политика и процедуры повышения осведомленности по вопросам безопасности и обучения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Обучение применению и осведомленность
Идентификатор: NIST SP 800-53 Rev. 5 AT-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1089, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1090, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1091, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Внутренняя угроза
Идентификатор: NIST SP 800-53 Rev. 5 AT-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1092, контролируемый корпорацией Майкрософт, — повышение осведомленности по вопросам безопасности | Внутренняя угроза | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Обучение на основе ролей
Идентификатор: NIST SP 800-53 Rev. 5 AT-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1093, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1094, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1095, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Практические упражнения
Идентификатор: NIST SP 800-53 Rev. 5 AT-3 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1096, контролируемый корпорацией Майкрософт, — обучение мерам безопасности на основе ролей | Практические упражнения | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Записи об обучении
Идентификатор: NIST SP 800-53 Rev. 5 AT-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1098, контролируемый корпорацией Майкрософт, — записи учебного курса по мерам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
| Элемент управления 1099, контролируемый корпорацией Майкрософт, — записи учебного курса по мерам безопасности | Корпорация Майкрософт реализует этот элемент управления осведомленностью и обучением по вопросам безопасности | аудит | 1.0.0 |
Аудит и система отчетности
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 AU-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1100, контролируемый корпорацией Майкрософт, — политика и процедуры аудита и системы отчетности | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1101, контролируемый корпорацией Майкрософт, — политика и процедуры аудита и системы отчетности | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Ведение журнала событий
Идентификатор: NIST SP 800-53 Rev. 5 AU-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1102, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1103, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1104, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1105, контролируемый корпорацией Майкрософт, — события аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1106, контролируемый корпорацией Майкрософт, — события аудита | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Содержимое записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1107, контролируемый корпорацией Майкрософт, — содержимое записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Дополнительные сведения об аудите
Идентификатор: NIST SP 800-53 Rev. 5 AU-3 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1108, контролируемый корпорацией Майкрософт, — содержимое записей аудита | Дополнительные сведения об аудите | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Емкость хранилища журнала аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1110, контролируемый корпорацией Майкрософт, — емкость хранилища записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Реагирование на сбои при ведении журнала аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1111, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1112, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Предупреждение о емкости хранилища
Идентификатор: NIST SP 800-53 ред. 5 AU-5 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1113, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Емкость хранилища записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Оповещения в реальном времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-5 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1114, контролируемый корпорацией Майкрософт, — реагирование на сбои при обработке операций аудита | Оповещения в реальном времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Обзор записей аудита, анализ и создание отчетов
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1115, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1116, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1123, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Настройка уровня аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
Автоматическая интеграция процессов
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1117, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Интеграция процессов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Сопоставление репозиториев записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1118, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Сопоставление репозиториев аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Централизованная проверка и анализ
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (4) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, отключено | 2.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1119, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Централизованная проверка и анализ | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
Интегрированный анализ записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (5) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, отключено | 2.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1120, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Возможности интеграция, сканирования и мониторинга | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
Сопоставление с физическим мониторингом
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (6) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1121, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Сопоставление с физическим мониторингом | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Разрешенные действия
Идентификатор: NIST SP 800-53 Rev. 5 AU-6 (7) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1122, контролируемый корпорацией Майкрософт, — обзор аудита, анализ результатов и создание отчетов | Разрешенные действия | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Снижение числа записей аудита и формирование отчетов
Идентификатор: NIST SP 800-53 Rev. 5 AU-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1124, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1125, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Автоматическая обработка
Идентификатор: NIST SP 800-53 Rev. 5 AU-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1126, контролируемый корпорацией Майкрософт, — сокращение аудита и создание отчетов | Автоматическая обработка | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Метки времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-8 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1127, контролируемый корпорацией Майкрософт, — метки времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1128, контролируемый корпорацией Майкрософт, — метки времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Защита сведений аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1131, контролируемый корпорацией Майкрософт, — защита сведений аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Хранение записей аудита на отдельных физических системах или компонентах
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1132, контролируемый корпорацией Майкрософт, — защита сведений аудита | Резервное копирование сведений аудита на отдельных физических системах или компонентах | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1133, контролируемый корпорацией Майкрософт, — защита сведений аудита | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Доступ по подмножеству привилегированных пользователей
Идентификатор: NIST SP 800-53 Rev. 5 AU-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1134, контролируемый корпорацией Майкрософт, — защита сведений аудита | Доступ по подмножеству привилегированных пользователей | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Неподдельность
Идентификатор: NIST SP 800-53 Rev. 5 AU-10 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1135, контролируемый корпорацией Майкрософт, — неотрекаемость | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Хранение записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-11 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1136, контролируемый корпорацией Майкрософт, — хранение записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, отключено | 3.0.0 |
Создание записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, отключено | 2.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1137, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1138, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Элемент управления 1139, контролируемый корпорацией Майкрософт, — создание записей аудита | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
Системный журнал аудита с учетом времени
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, отключено | 2.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1140, контролируемый корпорацией Майкрософт, — создание записей аудита | Системный журнал аудита и журнал аудита с сопоставлением по времени | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, отключено | 5.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
Изменения авторизованными пользователями
Идентификатор: NIST SP 800-53 Rev. 5 AU-12 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1141, контролируемый корпорацией Майкрософт, — создание записей аудита | Изменения авторизованными пользователями | Корпорация Майкрософт реализует этот элемент управления аудитом и системой отчетности | аудит | 1.0.0 |
Оценка, авторизация и мониторинг
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CA-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1142, контролируемый корпорацией Майкрософт, — политика и процедуры оценки сертификации, авторизации и безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1143, контролируемый корпорацией Майкрософт, — политика и процедуры оценки сертификации, авторизации и безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Оценка элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1144, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1145, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1146, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1147, контролируемый корпорацией Майкрософт, — оценки безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Независимые оценщики
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1148, контролируемый корпорацией Майкрософт, — оценки безопасности | Независимые оценщики | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Специализированные оценки
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1149, контролируемый корпорацией Майкрософт, — оценки безопасности | Специализированные оценки | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Использование результатов из внешних организаций
Идентификатор: NIST SP 800-53 Rev. 5 CA-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1150, контролируемый корпорацией Майкрософт, — оценки безопасности | Внешние организации | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Обмен информацией
Идентификатор: NIST SP 800-53 Rev. 5 CA-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1151, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1152, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1153, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
План действий и вехи
Идентификатор: NIST SP 800-53 Rev. 5 CA-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1156, контролируемый корпорацией Майкрософт, — план действий и вехи | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1157, контролируемый корпорацией Майкрософт, — план действий и вехи | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Авторизация
Идентификатор: NIST SP 800-53 Rev. 5 CA-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1158, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1159, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1160, контролируемый корпорацией Майкрософт, — авторизация в системе безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Непрерывный мониторинг
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1161, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1162, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1163, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1164, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1165, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1166, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1167, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Независимая оценка
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1168, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Независимая оценка | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Анализ тенденций
Идентификатор: NIST SP 800-53 Rev. 5 CA-7 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1169, контролируемый корпорацией Майкрософт, — непрерывный мониторинг | Анализ тенденций | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Выполнение тестов на проникновение
Идентификатор: NIST SP 800-53 ред. 5 CA-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1170, контролируемый корпорацией Майкрософт, — выполнение тестов на проникновение | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Независимый агент или команда тестов на проникновение
Идентификатор: NIST SP 800-53 Rev. 5 CA-8 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1171, контролируемый корпорацией Майкрософт, — выполнение тестов на проникновение | Независимый агент или команда по проникновению | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Внутренние подключения системы
Идентификатор: NIST SP 800-53 Rev. 5 CA-9 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1172, контролируемый корпорацией Майкрософт, — внутренние подключения системы | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1173, контролируемый корпорацией Майкрософт, — внутренние подключения системы | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
Управление конфигурацией
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CM-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1174, контролируемый корпорацией Майкрософт, — политика и процедуры управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1175, контролируемый корпорацией Майкрософт, — политика и процедуры управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Базовая конфигурация
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1176, контролируемый корпорацией Майкрософт, — базовая конфигурация | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1177, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1178, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1179, контролируемый корпорацией Майкрософт, — базовая конфигурация | Проверки и обновления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Поддержка автоматического обеспечения точности и актуальности
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1180, контролируемый корпорацией Майкрософт, — базовая конфигурация | Поддержка автоматизации для достижения точности и актуальности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Хранение предыдущих конфигураций
Идентификатор: NIST SP 800-53 Rev. 5 CM-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1181, контролируемый корпорацией Майкрософт, — базовая конфигурация | Хранение предыдущих конфигураций | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Настройка систем и компонентов для областей с высоким риском
Идентификатор: NIST SP 800-53 ред. 5 CM-2 (7) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1182, контролируемый корпорацией Майкрософт, — базовая конфигурация | Настройка систем, компонентов или устройств для областей с высоким риском | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1183, контролируемый корпорацией Майкрософт, — базовая конфигурация | Настройка систем, компонентов или устройств для областей с высоким риском | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Управление изменениями конфигурации
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 Ответственность: совместная
Автоматический запрет и документирование изменений, а также уведомление о них
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (1) Ответственность: совместная
Тестирование, проверка и документирование изменений
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1197, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Тестирование, проверка и документирование изменений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Представители по обеспечению безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1198, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Представитель по безопасности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Управление шифрованием
Идентификатор: NIST SP 800-53 Rev. 5 CM-3 (6) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1199, контролируемый корпорацией Майкрософт, — управление изменениями конфигурации | Управление шифрованием | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Анализы влияния
Идентификатор: NIST SP 800-53 Rev. 5 CM-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1200, контролируемый корпорацией Майкрософт, — анализ влияния на безопасность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Отдельные тестовые среды
Идентификатор: NIST SP 800-53 Rev. 5 CM-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1201, контролируемый корпорацией Майкрософт, — анализ влияния на безопасность | Отдельные тестовые среды | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Ограничение прав на доступ для внесения изменений
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1202, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Автоматическое принудительное применение прав доступа и записей аудита
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1203, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Автоматическое принудительное применение и аудит правил доступа | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Ограничение привилегий для производства и эксплуатации
Идентификатор: NIST SP 800-53 Rev. 5 CM-5 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1206, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Ограничение рабочих и операционных разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1207, контролируемый корпорацией Майкрософт, — ограничение прав на доступ для внесения изменений | Ограничение рабочих и операционных разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Параметры конфигурации
Идентификатор: NIST SP 800-53 Rev. 5 CM-6 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Аудит, отключено | 3.1.0-устаревший |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, отключено | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, отключено | 2.0.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Аудит, отключено | 1.0.2 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, отключено | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, отключено | 2.0.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 10.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 10.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 7.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 10.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 8.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, отключено | 1.5.0 |
| Элемент управления 1208, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1209, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1210, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1211, контролируемый корпорацией Майкрософт, — параметры конфигурации | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, отключено | 1.0.0 |
Автоматическое управление, применение и проверка
Идентификатор: NIST SP 800-53 Rev. 5 CM-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1212, контролируемый корпорацией Майкрософт, — параметры конфигурации | Автоматизированное централизованное управление, применение и проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Реагирование на несанкционированные изменения
Идентификатор: NIST SP 800-53 ред. 5 CM-6 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1213, контролируемый корпорацией Майкрософт, — параметры конфигурации | Реагирование на несанкционированные изменения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Минимальная функциональность
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Элемент управления 1214, контролируемый корпорацией Майкрософт, — минимальная функциональность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1215, контролируемый корпорацией Майкрософт, — минимальная функциональность | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Периодическая проверка
Идентификатор: NIST SP 800-53 ред. 5 CM-7 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1216, контролируемый корпорацией Майкрософт, — минимальная функциональность | Периодическая проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1217, контролируемый корпорацией Майкрософт, — минимальная функциональность | Периодическая проверка | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Запрет выполнения программы
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 (2) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1218, контролируемый корпорацией Майкрософт, — минимальная функциональность | Запрет выполнения программы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Авторизованное программное обеспечение Разрешение по исключению
Идентификатор: NIST SP 800-53 Rev. 5 CM-7 (5) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1219, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1220, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1221, контролируемый корпорацией Майкрософт, — минимальная функциональность | Авторизованное программное обеспечение или список разрешений | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Инвентаризация компонентов системы
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1222, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1223, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1229, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Нет дублирующего учета компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Обновления во время установки и удаления
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1224, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Обновления во время установки или удаления | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Автоматизированное обслуживание
Идентификатор: NIST SP 800-53 ред. 5 CM-8 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1225, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматизированное обслуживание | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Автоматическое обнаружение несанкционированных компонентов
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1226, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматическое обнаружение несанкционированных компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1227, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Автоматическое обнаружение несанкционированных компонентов | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1241, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Оповещения о несанкционированной установке | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Информация об ответственности
Идентификатор: NIST SP 800-53 Rev. 5 CM-8 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1228, контролируемый корпорацией Майкрософт, — учет компонентов информационной системы | Информация об ответственности | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
План управления конфигурацией
Идентификатор: NIST SP 800-53 Rev. 5 CM-9 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1230, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1231, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1232, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1233, контролируемый корпорацией Майкрософт, — план управления конфигурацией | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Ограничения на использование программного обеспечения
Идентификатор: NIST SP 800-53 Rev. 5 CM-10 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1234, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1235, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1236, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Программное обеспечение с открытым кодом
Идентификатор: NIST SP 800-53 Rev. 5 CM-10 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1237, контролируемый корпорацией Майкрософт, — ограничения на использование программного обеспечения | Программное обеспечение с открытым исходным кодом | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Программное обеспечение, установленное пользователем
Идентификатор: NIST SP 800-53 Rev. 5 CM-11 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1238, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1239, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
| Элемент управления 1240, контролируемый корпорацией Майкрософт, — программное обеспечение, установленное пользователем | Корпорация Майкрософт реализует этот элемент управления конфигурацией | аудит | 1.0.0 |
Планирование действий на непредвиденные случаи
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 CP-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1242, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1243, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
План на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1244, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1245, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1246, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1247, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1248, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1249, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1250, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1251, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
планирование ресурсов;
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1252, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Планирование ресурсов | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Возобновление выполнения основных задач и бизнес-функций
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1253, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Возобновление выполнения основных задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1254, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Возобновление выполнения всех задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Продолжение выполнения основных задач и бизнес-функций
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1255, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Продолжение выполнения основных задач и бизнес-функций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Выявление критически важных ресурсов
Идентификатор: NIST SP 800-53 Rev. 5 CP-2 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1256, контролируемый корпорацией Майкрософт, — план на непредвиденные случаи | Выявление критически важных ресурсов | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Обучение реагированию на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1257, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1258, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1259, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Смоделированные события
Идентификатор: NIST SP 800-53 Rev. 5 CP-3 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1260, контролируемый корпорацией Майкрософт, — обучение реагированию на непредвиденные случаи | Смоделированные события | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Тестирование плана на непредвиденные случаи
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1261, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1262, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1263, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1264, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Альтернативный сайт обработки
Идентификатор: NIST SP 800-53 Rev. 5 CP-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1265, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1266, контролируемый корпорацией Майкрософт, — тестирование плана на непредвиденные случаи | Альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Альтернативный сайт хранилища
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Аудит, отключено | 1.0.0 |
| Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, отключено | 2.0.0 |
| Элемент управления 1267, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1268, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Отделение от первичного сайта
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| Учетные записи хранения должны использовать геоизбыточное хранилище | Использование геоизбыточности для создания высокодоступных приложений | Аудит, отключено | 1.0.0 |
| Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование | Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. | AuditIfNotExists, отключено | 2.0.0 |
| Элемент управления 1269, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Отделение от первичного сайта | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Целевые показатели времени восстановления и точки восстановления
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1270, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Целевые показатели времени и точки восстановления | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Специальные возможности
Идентификатор: NIST SP 800-53 Rev. 5 CP-6 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1271, контролируемый корпорацией Майкрософт, — альтернативный сайт хранилища | Возможности доступа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Альтернативный сайт обработки
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит виртуальных машин без аварийного восстановления | Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. | проверитьЕслиНеСуществует | 1.0.0 |
| Элемент управления 1272, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1273, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1274, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Отделение от первичного сайта
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1275, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Отделение от первичного сайта | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Специальные возможности
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1276, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Возможности доступа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Приоритет службы
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1277, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Приоритет службы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Подготовка к использованию
Идентификатор: NIST SP 800-53 Rev. 5 CP-7 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1278, контролируемый корпорацией Майкрософт, — альтернативный сайт обработки | Подготовка к использованию | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Телекоммуникационные службы
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1279, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Приоритет подготовки службы
Идентификатор: NIST SP 800-53 ред. 5 CP-8 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1280, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Приоритет подготовки служб | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1281, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Приоритет подготовки служб | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Единые точки отказа
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (2) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1282, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Единые точки отказа | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Разделение первичных и альтернативных поставщиков
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (3) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1283, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | Разделение первичного и альтернативного поставщиков | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
План поставщика на непредвиденный случай
Идентификатор: NIST SP 800-53 Rev. 5 CP-8 (4) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1284, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1285, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1286, контролируемый корпорацией Майкрософт, — телекоммуникационные службы | План поставщика на непредвиденные случаи | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Резервное копирование системы
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, отключено | 3.0.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Аудит, отключено | 1.0.1 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Аудит, отказ в доступе, отключено | 2.1.0 |
| В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Аудит, отказ в доступе, отключено | 3.0.0 |
| Элемент управления 1287, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1288, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1289, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
| Элемент управления 1290, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Тестирование надежности и целостности
Идентификатор: NIST SP 800-53 ред. 5 CP-9 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1291, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Тестирование надежности и целостности | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Тестовое восстановление с использованием выборки
Идентификатор: NIST SP 800-53 ред. 5 CP-9 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1292, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Тестовое восстановление с помощью выборки | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Отдельное хранилище для важной информации
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1293, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Отдельное хранилище для важной информации | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Передача на альтернативный сайт хранилища
Идентификатор: NIST SP 800-53 Rev. 5 CP-9 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1294, контролируемый корпорацией Майкрософт, — резервное копирование информационной системы | Передача на альтернативный сайт хранилища | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Восстановление и воссоздание системы
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1295, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Восстановление транзакции
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1296, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Восстановление транзакций | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Восстановление в течение определенного периода времени
Идентификатор: NIST SP 800-53 Rev. 5 CP-10 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1297, контролируемый корпорацией Майкрософт, — восстановление и воссоздание информационной системы | Восстановление в течение определенного периода времени | Корпорация Майкрософт реализует этот элемент управления планированием на непредвиденные случаи | аудит | 1.0.0 |
Идентификация и аутентификация
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 IA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1298, контролируемый корпорацией Майкрософт, — политика и процедуры идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1299, контролируемый корпорацией Майкрософт, — политика и процедуры идентификации и аутентификации | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Идентификация и проверка подлинности (пользователи организации)
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1300, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
Многофакторная проверка подлинности для привилегированных учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1301, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к привилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1303, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Локальный доступ к привилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Многофакторная проверка подлинности для непривилегированных учетных записей
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (2) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1302, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к непривилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1304, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Локальный доступ к непривилегированным учетным записям | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Индивидуальная проверка подлинности с помощью проверки подлинности группы
Идентификатор: NIST SP 800-53 Rev. 5 IA-2 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1305, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Проверка подлинности группы | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Доступ к учетным записям и защита от атак с повторением
Идентификатор: NIST SP 800-53 ред. 5 IA-2 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1306, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к привилегированным учетным записям — защита от атак с повторением... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1307, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Сетевой доступ к непривилегированным учетным записям — защита от атак с повторением... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Принятие учетных данных PIV
Идентификатор: NIST SP 800-53 ред. 5 IA-2 (12) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1309, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности пользователей | Принятие учетных данных для проверки личности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Идентификация и аутентификация устройства
Идентификатор: NIST SP 800-53 ред. 5 IA-3 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1310, контролируемый корпорацией Майкрософт, — идентификация и аутентификация устройства | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Управление идентификаторами
Идентификатор: NIST SP 800-53 Rev. 5 IA-4 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, отключено | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1311, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1312, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1313, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1314, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1315, контролируемый корпорацией Майкрософт, — управление идентификаторами | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Аудит, отказ в доступе, отключено | 1.1.0 |
Определение состояния пользователя
Идентификатор: NIST SP 800-53 Rev. 5 IA-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1316, контролируемый корпорацией Майкрософт, — управление идентификаторами | Определение состояния пользователя | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Управление структурой проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, отключено | 1.4.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, отключено | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.2.0 |
| Элемент управления 1317, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1318, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1319, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1320, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1321, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1322, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1323, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1324, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1325, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1326, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Аутентификация на основе пароля
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | изменить | 1.3.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, отключено | 1.4.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, отключено | 1.1.0 |
| Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней | AuditIfNotExists, отключено | 1.1.0 |
| Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день | AuditIfNotExists, отключено | 1.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, отключено | 1.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, отключено | 1.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, отключено | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.4.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | развернутьЕслиНеСуществует (deployIfNotExists) | 1.2.0 |
| Элемент управления 1327, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1328, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1329, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1330, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1331, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1332, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Проверка подлинности на основе пароля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1338, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Автоматическая поддержка определения надежности паролей | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Проверка подлинности на основе открытых ключей
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (2) Ответственность: совместная
Защита средств проверки подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (6) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1339, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Защита структур проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Отсутствие внедренных статических средств проверки подлинности без шифрования
Идентификатор: NIST SP 800-53 Rev. 5 IA-5 (7) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1340, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Отсутствие внедренных статических структур проверки подлинности без шифрования | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Несколько системных учетных записей
Идентификатор: NIST SP 800-53 ред. 5 IA-5 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1341, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Учетные записи нескольких информационных систем | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Истечение срока действия кэшированных средств проверки подлинности
Идентификатор: NIST SP 800-53 ред. 5 IA-5 (13) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1343, контролируемый корпорацией Майкрософт, — управление структурой проверки подлинности | Истечение срока действия кэшированных структур проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Отзыв о проверке подлинности
Идентификатор: NIST SP 800-53 Rev. 5 IA-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1344, контролируемый корпорацией Майкрософт, — отзыв о структуре проверки подлинности | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Аутентификация криптографического модуля
Идентификатор: NIST SP 800-53 Rev. 5 IA-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1345, контролируемый корпорацией Майкрософт, — аутентификация криптографического модуля | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Идентификация и проверка подлинности (пользователи за пределами организации)
Идентификатор: NIST SP 800-53 ред. 5 IA-8 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1346, контролируемый корпорацией Майкрософт, — идентификация и аутентификация (пользователи за пределами организации) | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Принятие учетных данных PIV от других агентств
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1347, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Принятие учетных данных для проверки личности... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Принятие внешних средств проверки подлинности
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1348, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Принятие сторонних... | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
| Элемент управления 1349, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Использование продуктов, утвержденных FICAM | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Использование определенных профилей
Идентификатор: NIST SP 800-53 ред. 5 IA-8 (4) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1350, контролируемый корпорацией Майкрософт, — идентификация и проверка подлинности (пользователи за пределами организации) | Использование профилей от FICAM | Корпорация Майкрософт реализует этот элемент управления идентификацией и аутентификацией | аудит | 1.0.0 |
Реакция на инцидент
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 IR-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1351, контролируемый корпорацией Майкрософт, — политика и процедуры реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1352, контролируемый корпорацией Майкрософт, — политика и процедуры реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Обучение реагированию на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1353, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1354, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1355, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Смоделированные события
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1356, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Смоделированные события | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Автоматизированные среды обучения
Идентификатор: NIST SP 800-53 Rev. 5 IR-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1357, контролируемый корпорацией Майкрософт, — обучение реагированию на инциденты | Автоматизированные среды для обучения | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Тестирование реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1358, контролируемый корпорацией Майкрософт, — тестирование реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Координация с соответствующими планами
Идентификатор: NIST SP 800-53 Rev. 5 IR-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1359, контролируемый корпорацией Майкрософт, — тестирование реагирования на инциденты | Координация с соответствующими планами | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Обработка инцидента
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 2.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1360, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1361, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1362, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
Автоматические процессы обработки инцидентов
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1363, контролируемый корпорацией Майкрософт, — обработка инцидента | Автоматизированные процессы обработки инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Динамическая перенастройка
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1364, контролируемый корпорацией Майкрософт, — обработка инцидентов | Динамическая перенастройка | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Непрерывность операций
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1365, контролируемый корпорацией Майкрософт, — обработка инцидента | Непрерывность операций | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Корреляция данных
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1366, контролируемый корпорацией Майкрософт, — обработка инцидентов | Корреляция данных | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Внутренние угрозы
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (6) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1367, контролируемый корпорацией Майкрософт, — обработка инцидентов | Внутренние угрозы — специальные возможности | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Корреляция с внешними организациями
Идентификатор: NIST SP 800-53 Rev. 5 IR-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1368, контролируемый корпорацией Майкрософт, — обработка инцидента | Корреляция с внешним организациям | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Мониторинг инцидента
Идентификатор: NIST SP 800-53 Rev. 5 IR-5 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 2.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1369, контролируемый корпорацией Майкрософт, — отслеживание инцидентов | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
Автоматическое отслеживание, сбор данных и анализ
Идентификатор: NIST SP 800-53 ред. 5 IR-5 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1370, контролируемый корпорацией Майкрософт, — отслеживание инцидентов | Автоматизированное отслеживание, сбор данных и анализ | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Отчет об инциденте
Идентификатор: NIST SP 800-53 ред. 5 IR-6 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1371, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1372, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Автоматическая отчетность
Идентификатор: NIST SP 800-53 Rev. 5 IR-6 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1373, контролируемый корпорацией Майкрософт, — подготовка отчетов об инцидентах | Автоматическая отчетность | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Уязвимости, связанные с инцидентами
Идентификатор: NIST SP 800-53 ред. 5 IR-6 (2) Ответственность: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 2.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
Поддержка реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1374, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Поддержка автоматизации для доступа к информации и поддержке
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1375, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Поддержка автоматизации для доступа к информации и службе поддержки | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Координация с внешними поставщиками
Идентификатор: NIST SP 800-53 Rev. 5 IR-7 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1376, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Координация с внешними поставщиками | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
| Элемент управления 1377, контролируемый корпорацией Майкрософт, — поддержка реагирования на инциденты | Координация с внешними поставщиками | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
План реагирования на инциденты
Идентификатор: NIST SP 800-53 Rev. 5 IR-8 Ответственность: совместная
Утечка данных
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 Ответственность: совместная
Обучение
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1391, контролируемый корпорацией Майкрософт, — реагирование на разглашение данных | Обучение | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Операции после разглашения
Идентификатор: NIST SP 800-53 ред. 5 IR-9 (3) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1392, контролируемый корпорацией Майкрософт, — реагирование на разглашение информации | Операции после разглашения | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Воздействие на неавторизованный персонал
Идентификатор: NIST SP 800-53 Rev. 5 IR-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1393, контролируемый корпорацией Майкрософт, — реагирование на разглашение информации | Воздействие на неавторизованный персонал | Корпорация Майкрософт реализует этот элемент управления реагированием на инциденты | аудит | 1.0.0 |
Обслуживание
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 MA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1394, контролируемый корпорацией Майкрософт, — политика и процедуры обслуживания системы | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1395, контролируемый корпорацией Майкрософт, — политика и процедуры обслуживания системы | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Управляемое обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-2 Ответственность: совместная
Автоматические действия по обслуживанию
Идентификатор: NIST SP 800-53 Rev. 5 MA-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1402, контролируемый корпорацией Майкрософт, — управляемое обслуживание | Автоматические действия по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1403, контролируемый корпорацией Майкрософт, — управляемое обслуживание | Автоматические действия по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Средства обслуживания
Идентификатор: NIST SP 800-53 Rev. 5 MA-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1404, контролируемый корпорацией Майкрософт, — средства обслуживания | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Инструменты проверки
Идентификатор: NIST SP 800-53 ред. 5 MA-3 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1405, контролируемый корпорацией Майкрософт, — средства обслуживания | Проверка средств | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Проверка носителя
Идентификатор: NIST SP 800-53 Rev. 5 MA-3 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1406, контролируемый корпорацией Майкрософт, — средства обслуживания | Проверка носителей | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Предотвращение несанкционированного удаления
Идентификатор: NIST SP 800-53 ред. 5 MA-3 (3) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1407, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1408, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1409, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1410, контролируемый корпорацией Майкрософт, — средства обслуживания | Предотвращение несанкционированного удаления | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Нелокальное обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1411, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1412, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1413, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1414, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1415, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Сопоставимый уровень безопасности и очистки
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1417, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Сопоставимый уровень безопасности и очистки | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1418, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Сопоставимый уровень безопасности и очистки | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 MA-4 (6) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1419, контролируемый корпорацией Майкрософт, — удаленное обслуживание | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Персонал по обслуживанию
Идентификатор: NIST SP 800-53 Rev. 5 MA-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1420, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1421, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1422, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Пользователи без соответствующего доступа
Идентификатор: NIST SP 800-53 ред. 5 MA-5 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1423, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Пользователи без соответствующего уровня доступа | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
| Элемент управления 1424, контролируемый корпорацией Майкрософт, — персонал по обслуживанию | Пользователи без соответствующего уровня доступа | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Своевременное обслуживание
Идентификатор: NIST SP 800-53 Rev. 5 MA-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1425, контролируемый корпорацией Майкрософт, — своевременное обслуживание | Корпорация Майкрософт реализует этот элемент управления обслуживанием | аудит | 1.0.0 |
Защита данных на носителях
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 MP-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1426, контролируемый корпорацией Майкрософт, — политика и процедуры защиты данных на носителях | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1427, контролируемый корпорацией Майкрософт, — политика и процедуры защиты данных на носителях | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Доступ к носителям
Идентификатор: NIST SP 800-53 ред. 5 MP-2 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1428, контролируемый корпорацией Майкрософт, — доступ к носителям | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Маркировка носителей
Идентификатор: NIST SP 800-53 ред. 5 MP-3 Владение: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1429, контролируемый корпорацией Майкрософт, — маркировка носителей | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1430, контролируемый корпорацией Майкрософт, — маркировка носителей | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Устройство хранения данных
Идентификатор: NIST SP 800-53 ред. 5 MP-4 Владение: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1431, контролируемый корпорацией Майкрософт, — устройство хранения данных | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1432, контролируемый корпорацией Майкрософт, — устройство хранения данных | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Передача носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-5 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1433, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1434, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1435, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1436, контролируемый корпорацией Майкрософт, — передача носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Очистка носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-6 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1438, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1439, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Проверка, утверждение, отслеживание, документирование и подтверждение
Идентификатор: NIST SP 800-53 ред. 5 MP-6 (1) Владение: общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1440, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Просмотр, утверждение, отслеживание, документирование и проверка | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Тестирование оборудования
Идентификатор: NIST SP 800-53 ред. 5 MP-6 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1441, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Тестирование оборудования | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Неразрушающие методы
Идентификатор: NIST SP 800-53 Rev. 5 MP-6 (3) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1442, контролируемый корпорацией Майкрософт, — очистка и утилизация носителя | Обратимые методы | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Использование носителя
Идентификатор: NIST SP 800-53 ред. 5 MP-7 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1443, контролируемый корпорацией Майкрософт, — использование носителя | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1444, контролируемый корпорацией Майкрософт, — использование носителя | Запрет использования без владельца | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
Физическая безопасность и защита от неблагоприятного воздействия окружающей среды
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PE-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1445, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения физической безопасности и защиты от неблагоприятного воздействия окружающей среды | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1446, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения физической безопасности и защиты от неблагоприятного воздействия окружающей среды | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Разрешение на физический доступ
Идентификатор: NIST SP 800-53 ред. 5 PE-2 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1447, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1448, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1449, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1450, контролируемый корпорацией Майкрософт, — разрешения на физический доступ | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Контроль физического доступа
Идентификатор: NIST SP 800-53 ред. 5 PE-3 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1451, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1452, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1453, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1454, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1455, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1456, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1457, контролируемый корпорацией Майкрософт, — контроль физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Доступ к системе
Идентификатор: NIST SP 800-53 Rev. 5 PE-3 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1458, контролируемый корпорацией Майкрософт, — контроль физического доступа | Доступ к информационным системам | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Управление доступом для передачи
Идентификатор: NIST SP 800-53 ред. 5 PE-4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1459, контролируемый корпорацией Майкрософт, — управление доступом для среды передачи | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Управление доступом устройств вывода
Идентификатор: NIST SP 800-53 ред. 5 PE-5 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1460, контролируемый корпорацией Майкрософт, — управление доступом для устройств вывода | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Мониторинг физического доступа
Идентификатор: NIST SP 800-53 Rev. 5 PE-6 Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1461, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1462, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1463, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Оборудование для охранной сигнализации и видеонаблюдения
Идентификатор: NIST SP 800-53 ред. 5 PE-6 (1) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1464, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Оборудование для охранной сигнализации и видеонаблюдения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Отслеживание физического доступа к системам
Идентификатор: NIST SP 800-53 Rev. 5 PE-6 (4) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1465, контролируемый корпорацией Майкрософт, — мониторинг физического доступа | Мониторинг физического доступа к информационным системам | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Записи доступа посетителей
Идентификатор: NIST SP 800-53 ред. 5 PE-8 Ownership: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1466, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1467, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Автоматическое сохранение и проверка записей
Идентификатор: NIST SP 800-53 Rev. 5 PE-8 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1468, контролируемый корпорацией Майкрософт, — записи о доступе посетителей | Автоматическое обслуживание и проверка записей | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Источники питания и кабели
Идентификатор: NIST SP 800-53 Rev. 5 PE-9 Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1469, контролируемый корпорацией Майкрософт, — источники питания и кабели | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Аварийное выключение
Идентификатор: NIST SP 800-53 Rev. 5 PE-10 Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1470, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1471, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1472, контролируемый корпорацией Майкрософт, — аварийное выключение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Аварийное питание
Идентификатор: NIST SP 800-53 Rev. 5 PE-11 Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1473, контролируемый корпорацией Майкрософт, — аварийное питание | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Альтернативный источник питания и минимальные операционные способности
Идентификатор: NIST SP 800-53 Rev. 5 PE-11 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1474, контролируемый корпорацией Майкрософт, — аварийное питание | Долгосрочный альтернативный источник питания — минимальные операционные способности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Аварийное освещение
Идентификатор: NIST SP 800-53 ред. 5 PE-12 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1475, контролируемый корпорацией Майкрософт, — аварийное освещение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Пожарная защита
Идентификатор: NIST SP 800-53 ред. 5 PE-13 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1476, контролируемый корпорацией Майкрософт, — противопожарная защита | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Системы обнаружения — автоматическая активация и уведомление
Идентификатор: NIST SP 800-53 ред. 5 PE-13 (1) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1477, контролируемый корпорацией Майкрософт, — противопожарная защита | Устройства и системы обнаружения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Системы подавления — автоматическая активация и уведомление
Идентификатор: NIST SP 800-53 ред. 5 PE-13 (2) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1478, контролируемый корпорацией Майкрософт, — противопожарная защита | Устройства и системы пожаротушения | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1479, контролируемый корпорацией Майкрософт, — противопожарная защита | Автоматическое пожаротушение | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Элементы управления средой
Идентификатор: NIST SP 800-53 ред. 5 PE-14 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1480, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1481, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Мониторинг с помощью предупреждений и уведомлений
Идентификатор: NIST SP 800-53 ред. 5 PE-14 (2) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1482, контролируемый корпорацией Майкрософт, — контроль температуры и влажности | Мониторинг с помощью сигнализации и уведомлений | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Защита от ущерба, причиненного водой
Идентификатор: NIST SP 800-53 ред. 5 PE-15 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1483, контролируемый корпорацией Майкрософт, — защита от ущерба, причиняемого водой | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Поддержка автоматизации
Идентификатор: NIST SP 800-53 Rev. 5 PE-15 (1) Ответственность: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1484, контролируемый корпорацией Майкрософт, — защита от ущерба, причиняемого водой | Поддержка службы автоматизации | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Доставка и вывозка
Идентификатор: NIST SP 800-53 ред. 5 PE-16 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1485, контролируемый корпорацией Майкрософт, — доставка и удаление | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Альтернативный веб-сайт
Идентификатор: NIST SP 800-53 ред. 5 PE-17 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1486, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1487, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
| Элемент управления 1488, контролируемый корпорацией Майкрософт, — альтернативный рабочий сайт | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Расположение компонентов системы
Идентификатор: NIST SP 800-53 ред. 5 PE-18 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1489, контролируемый корпорацией Майкрософт, — расположение компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления физической безопасностью и защитой от неблагоприятного воздействия окружающей среды | аудит | 1.0.0 |
Планирование
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PL-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1490, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1491, контролируемый корпорацией Майкрософт, — политика и процедуры планирования действий безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
Планы безопасности и конфиденциальности системы
Идентификатор: NIST SP 800-53 Rev. 5 PL-2 Ответственность: совместная
Правила поведения
Идентификатор: NIST SP 800-53 Rev. 5 PL-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1498, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1499, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1500, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1501, контролируемый корпорацией Майкрософт, — правила поведения | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
Ограничение использования социальных сетей, внешних веб-сайтов и приложений
Идентификатор: NIST SP 800-53 Rev. 5 PL-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1502, контролируемый корпорацией Майкрософт, — правила поведения | Ограничения в отношении социальных сетей и сети контактов | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
Архитектура обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 PL-8 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1503, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1504, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
| Элемент управления 1505, контролируемый корпорацией Майкрософт, — архитектура информационной безопасности | Корпорация Майкрософт реализует этот элемент управления планированием | аудит | 1.0.0 |
Безопасность персонала
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 PS-1 Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1506, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения безопасности персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1507, контролируемый корпорацией Майкрософт, — политика и процедуры обеспечения безопасности персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Обозначение должностного риска
Идентификатор: NIST SP 800-53 Rev. 5 PS-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1508, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1509, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1510, контролируемый корпорацией Майкрософт, — классификация позиции | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Проверка данных персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1511, контролируемый корпорацией Майкрософт, — проверка данных персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1512, контролируемый корпорацией Майкрософт, — проверка данных персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Данные, требующие особой защиты
Идентификатор: NIST SP 800-53 Rev. 5 PS-3 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1513, контролируемый корпорацией Майкрософт, — проверка данных персонала | Информация с особыми мерами защиты | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1514, контролируемый корпорацией Майкрософт, — проверка данных персонала | Информация с особыми мерами защиты | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Увольнение персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1515, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1516, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1517, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1518, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1519, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1520, контролируемый корпорацией Майкрософт, — увольнение персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Автоматизированные действия
Идентификатор: NIST SP 800-53 Rev. 5 PS-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1521, контролируемый корпорацией Майкрософт, — увольнение персонала | Автоматическое уведомление | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Перевод персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1522, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1523, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1524, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1525, контролируемый корпорацией Майкрософт, — перевод персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Соглашения о доступе
Идентификатор: NIST SP 800-53 Rev. 5 PS-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1526, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1527, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1528, контролируемый корпорацией Майкрософт, — соглашения о доступе | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
Безопасность стороннего персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-7 Ответственность: совместная
Меры в отношении персонала
Идентификатор: NIST SP 800-53 Rev. 5 PS-8 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1534, контролируемый корпорацией Майкрософт, — меры в отношении персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
| Элемент управления 1535, контролируемый корпорацией Майкрософт, — меры в отношении персонала | Корпорация Майкрософт реализует этот элемент управления безопасностью персонала | аудит | 1.0.0 |
конфиденциальности
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 RA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1536, контролируемый корпорацией Майкрософт, — политика и процедуры оценки рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1537, контролируемый корпорацией Майкрософт, — политика и процедуры оценки рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Классификация угроз для безопасности
Идентификатор: NIST SP 800-53 Rev. 5 RA-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1538, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1539, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1540, контролируемый корпорацией Майкрософт, — классификация угроз для безопасности | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 RA-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1541, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1542, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1543, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1544, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1545, контролируемый корпорацией Майкрософт, — оценка рисков | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Мониторинг и проверка уязвимостей
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1546, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1547, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1548, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1549, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1550, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Элемент управления 1551, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Возможности средства обновления | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, отключено | 4.1.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, отключено | 1.0.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, отключено | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, отключено | 3.0.0 |
| В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. | AuditIfNotExists, отключено | 1.0.0 |
Обновление сведений об уязвимостях для сканирования
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1552, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Обновление по частоте, до новой проверки, при обнаружении | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Ширина или глубина охвата
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1553, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Ширина и глубина охвата | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Доступные для обнаружения данные
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1554, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Доступные для обнаружения данные | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Привилегированный доступ
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1555, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Привилегированный доступ | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Автоматический анализ тенденций
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (6) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1556, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Автоматический анализ тенденций | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Проверка исторических журналов аудита
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1557, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Проверка журналов аудита за прошлые периоды | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Корреляция данных сканирования
Идентификатор: NIST SP 800-53 Rev. 5 RA-5 (10) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1558, контролируемый корпорацией Майкрософт, — поиск уязвимостей | Корреляция данных сканирования | Корпорация Майкрософт реализует этот элемент управления оценкой угроз для безопасности | аудит | 1.0.0 |
Приобретение систем и служб
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SA-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1559, контролируемый корпорацией Майкрософт, — политика и процедуры приобретения систем и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1560, контролируемый корпорацией Майкрософт, — политика и процедуры приобретения систем и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Выделение ресурсов
Идентификатор: NIST SP 800-53 Rev. 5 SA-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1561, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1562, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1563, контролируемый корпорацией Майкрософт, — выделение ресурсов | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Жизненный цикл разработки системы
Идентификатор: NIST SP 800-53 Rev. 5 SA-3 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1564, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1565, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1566, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1567, контролируемый корпорацией Майкрософт, — жизненный цикл разработки системы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Процесс приобретения
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1568, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1569, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1570, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1571, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1572, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1573, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1574, контролируемый корпорацией Майкрософт, — процесс приобретения | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Функциональные свойства элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1575, контролируемый корпорацией Майкрософт, — процесс приобретения | Функциональные свойства элементов управления безопасностью | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Сведения о проектировании и реализации элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1576, контролируемый корпорацией Майкрософт, — процесс приобретения | Информация по разработке и реализации для элементов управления безопасностью | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
План непрерывного мониторинга элементов управления
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (8) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1577, контролируемый корпорацией Майкрософт, — процесс приобретения | План непрерывного мониторинга | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Используемые функции, порты, протоколы и службы
Идентификатор: NIST SP 800-53 Rev. 5 SA-4 (9) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1578, контролируемый корпорацией Майкрософт, — процесс приобретения | Используемые функции, порты, протоколы и службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Использование утвержденных продуктов PIV
Идентификатор: NIST SP 800-53 ред. 5 SA-4 (10) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1579, контролируемый корпорацией Майкрософт, — процесс приобретения | Использование утвержденных продуктов для проверки личности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Документация по системе
Идентификатор: NIST SP 800-53 Rev. 5 SA-5 Ответственность: совместная
Принципы обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 ред. 5 SA-8 Ownership: Microsoft
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1585, контролируемый корпорацией Майкрософт, — принципы техники обеспечения безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Службы внешних систем
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1586, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1587, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1588, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Оценки рисков и утверждения организацией
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1589, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Оценка рисков и утверждения организацией | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1590, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Оценка рисков и утверждения организацией | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Определение функций, портов, протоколов и служб
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1591, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Определение функций, портов, протоколов и служб | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Согласованные интересы потребителей и поставщиков
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1592, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Согласованные интересы потребителей и поставщиков | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Обработка, хранение и обнаружение службы
Идентификатор: NIST SP 800-53 Rev. 5 SA-9 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1593, контролируемый корпорацией Майкрософт, — внешние информационные системные службы | Обработка, хранение и расположение службы | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Управление конфигурацией со стороны разработчика
Идентификатор: NIST SP 800-53 Rev. 5 SA-10 Ответственность: совместная
Проверка целостности программного обеспечения и встроенного ПО
Идентификатор: NIST SP 800-53 Rev. 5 SA-10 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1599, контролируемый корпорацией Майкрософт, — управление конфигурацией со стороны разработчика | Проверка целостности программного обеспечения и встроенного ПО | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Тестирование и оценка со стороны разработчика
Идентификатор: NIST SP 800-53 Rev. 5 SA-11 Ответственность: совместная
Статический анализ кода
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1605, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Статический анализ кода | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Моделирование угроз и анализ уязвимостей
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1606, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Анализ угроз и уязвимостей | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Анализ динамического кода
Идентификатор: NIST SP 800-53 ред. 5 SA-11 (8) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1607, контролируемый корпорацией Майкрософт, — тестирование и оценка безопасности со стороны разработчика | Динамический анализ кода | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Процессы, стандарты и средства разработки
Идентификатор: NIST SP 800-53 Rev. 5 SA-15 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1609, контролируемый корпорацией Майкрософт, — процессы, стандарты и средства разработки | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1610, контролируемый корпорацией Майкрософт, — процессы, стандарты и средства разработки | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Предоставляемое разработчиком обучение
Идентификатор: NIST SP 800-53 Rev. 5 SA-16 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1611, контролируемый корпорацией Майкрософт, — предоставляемое разработчиком обучение | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Создание разработчиком архитектуры и структуры обеспечения безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 SA-17 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1612, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1613, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
| Элемент управления 1614, контролируемый корпорацией Майкрософт, — создание разработчиком архитектуры и структуры безопасности | Корпорация Майкрософт реализует этот элемент управления приобретением систем и служб | аудит | 1.0.0 |
Защита системы и средств передачи данных
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SC-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1615, контролируемый корпорацией Майкрософт, — политика и процедуры защиты системы и средств передачи данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1616, контролируемый корпорацией Майкрософт, — политика и процедуры защиты системы и средств передачи данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Разделение функций системы и пользователя
Идентификатор: NIST SP 800-53 Rev. 5 SC-2 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1617, контролируемый корпорацией Майкрософт, — секционирование приложений | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Изоляции функций безопасности
Идентификатор: NIST SP 800-53 Rev. 5 SC-3 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Элемент управления 1618, контролируемый корпорацией Майкрософт, — изоляция функций безопасности | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, отключено | 1.1.1 |
Информация в общих системных ресурсах
Идентификатор: NIST SP 800-53 ред. 5 SC-4 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1619, контролируемый корпорацией Майкрософт, — информация в общих ресурсах | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Защита от отказа в обслуживании
Идентификатор: NIST SP 800-53 Rev. 5 SC-5 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Защита от атак DDoS Azure должна быть включена | Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. | AuditIfNotExists, отключено | 3.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 1.0.2 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1620, контролируемый корпорацией Майкрософт, — защита от отказа в обслуживании | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 2.0.0 |
Доступность ресурса
Идентификатор: NIST SP 800-53 Rev. 5 SC-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1621, контролируемый корпорацией Майкрософт, — доступность ресурсов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Защита границ
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: служба Azure AI должен использовать приватный канал. | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с поиском ИИ Azure риски утечки данных снижаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отключено | 1.0.2-устаревший |
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Аудит, отключено | 3.0.1-устаревший |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Аудит, отказ в доступе, отключено | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, отключено | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, отключено | 2.0.0 |
| Azure AI служба должен использовать номер SKU, поддерживающий приватный канал. | С поддерживаемыми номерами SKU службы поиска ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Служба Azure AI должен отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure AI не предоставляется в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Аудит, отказ в доступе, отключено | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Аудит, отказ в доступе, отключено | 2.1.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Хранилище ключей Azure должно включать брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр хранилища ключей, чтобы хранилище ключей по умолчанию не было доступно для общедоступных IP-адресов или отключите доступ к общедоступной сети для хранилища ключей, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink | Аудит, отказ в доступе, отключено | 1.5.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Аудит, отключено | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Аудит, отключено | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 1.0.2 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/privatelink и . | Аудит, отказ в доступе, отключено | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Аудит, отключено | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Аудит, отключено | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1622, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1623, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1624, контролируемый корпорацией Майкрософт, — защита границ | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Аудит, отключено | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, отключено | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 2.0.0 |
Точки доступа
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (3) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: служба Azure AI должен использовать приватный канал. | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с поиском ИИ Azure риски утечки данных снижаются. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отключено | 1.0.2-устаревший |
| [Не рекомендуется]: Cognitive Services должен использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Аудит, отключено | 3.0.1-устаревший |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, отключено | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Аудит, отказ в доступе, отключено | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, отключено | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Аудит, отключено | 2.0.0 |
| Azure AI служба должен использовать номер SKU, поддерживающий приватный канал. | С поддерживаемыми номерами SKU службы поиска ИИ Azure Приватный канал Azure позволяет подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в источнике или назначении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Служба Azure AI должен отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что служба Azure AI не предоставляется в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Аудит, отказ в доступе, отключено | 3.2.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Аудит, отказ в доступе, отключено | 2.1.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, отключено | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Аудит, отключено | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, отключено | 1.0.0 |
| Хранилище ключей Azure должно включать брандмауэр или отключен доступ к общедоступной сети | Включите брандмауэр хранилища ключей, чтобы хранилище ключей по умолчанию не было доступно для общедоступных IP-адресов или отключите доступ к общедоступной сети для хранилища ключей, чтобы он не был доступен через общедоступный Интернет. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. Дополнительные сведения см. по ссылкам https://docs.microsoft.com/azure/key-vault/general/network-security и https://aka.ms/akvprivatelink | Аудит, отказ в доступе, отключено | 1.5.0 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Аудит, отключено | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Аудит, отключено | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Аудит, отключено | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 1.0.2 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/privatelink и . | Аудит, отказ в доступе, отключено | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Аудит, отключено | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Аудит, отключено | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, отключено | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, отключено | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Аудит, отключено | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, отключено | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, отключено | 3.0.0 |
| Элемент управления 1625, контролируемый корпорацией Майкрософт, — защита границ | Точки доступа | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, отключено | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Аудит, отключено | 1.1.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Аудит, отказ в доступе, отключено | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, отключено | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, отключено | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Аудит, отказ в доступе, отключено | 2.0.0 |
Внешние телекоммуникационные службы
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (4) Ответственность: совместная
Запрет по умолчанию и разрешение исключений
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (5) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1155, контролируемый корпорацией Майкрософт, — взаимосвязи в системе | Ограничения на подключения внешних систем | Корпорация Майкрософт реализует этот элемент управления оценкой безопасности и полномочиями | аудит | 1.0.0 |
| Элемент управления 1631, контролируемый корпорацией Майкрософт, — защита границ | Запрет по умолчанию или разрешение исключений | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Раздельное туннелирование для удаленных устройств
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (7) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1632, контролируемый корпорацией Майкрософт, — защита границ | Предотвращение раздельного туннелирования для удаленных устройств | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Маршрутизация трафика к прокси-серверам с проверкой подлинности
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (8) Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1633, контролируемый корпорацией Майкрософт, — защита границ | Маршрутизация трафика на аутентифицированные прокси-серверы | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Предотвращение извлечения данных
Идентификатор: NIST SP 800-53 ред. 5 SC-7 (10) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1634, контролируемый корпорацией Майкрософт, — защита границ | Предотвращение несанкционированного извлечения данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Защита на основе узла
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (12) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1635, контролируемый корпорацией Майкрософт, — защита границ | Защита на основе узлов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Изоляция средств и механизмов безопасности и компонентов поддержки
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (13) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1636, контролируемый корпорацией Майкрософт, — защита границ | Изоляция средств, механизмов безопасности и компонентов поддержки | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Отказоустойчивость
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (18) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1637, контролируемый корпорацией Майкрософт, — защита границ | Отказоустойчивость | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Динамическая изоляция и разделение
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (20) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1638, контролируемый корпорацией Майкрософт, — защита границ | Динамическая изоляция и разделение | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Изоляция компонентов системы
Идентификатор: NIST SP 800-53 Rev. 5 SC-7 (21) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1639, контролируемый корпорацией Майкрософт, — защита границ | Изоляция компонентов информационной системы | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Конфиденциальность и целостность передаваемых данных
Идентификатор: NIST SP 800-53 Rev. 5 SC-8 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Отклонить | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, отключено | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, отключено | 2.1.0 |
| Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, отключено | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, отключено | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Отклонить | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, отключено | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, отключено | 2.1.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.1.0 |
| Элемент управления 1640, контролируемый корпорацией Майкрософт, — конфиденциальность и целостность передаваемых данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключено | 3.0.1 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-8 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Отклонить | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, отключено | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, отключено | 2.1.0 |
| Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, отключено | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Аудит, отключено | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Отклонить | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, отключено | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, отключено | 2.1.0 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 9.1.0 |
| Элемент управления 1641, контролируемый корпорацией Майкрософт, — конфиденциальность и целостность передаваемых данных | Шифрование или дополнительная физическая защита | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, отключено | 3.0.1 |
Отключение сети
Идентификатор: NIST SP 800-53 Rev. 5 SC-10 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1642, контролируемый корпорацией Майкрософт, — отключение сети | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Установка криптографических ключей и управление ими
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента | Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. | Аудит, отказ в доступе, отключено | 1.0.0 (предварительная версия) |
| Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) | Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. | Аудит, отказ в доступе, отключено | 2.2.0 |
| Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Группа контейнеров экземпляров контейнеров Azure должна использовать для шифрования ключ, управляемый клиентом | Защита контейнеров благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, Отключено, Отклонить | 1.0.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| В заданиях Azure Data Box для шифрования пароля разблокировки устройства должен использоваться ключ, управляемый клиентом | Для управления шифрованием пароля разблокировки устройства для Azure Data Box следует использовать ключ, управляемый клиентом. Ключи, управляемые клиентом, также позволяют управлять доступом службы Data Box к паролю разблокировки устройства, чтобы подготовить устройство и автоматически копировать данные. Данные на самом устройстве шифруются при хранении с помощью 256-разрядного шифрования AES, а пароль разблокировки устройства шифруется по умолчанию с помощью ключа, управляемого Майкрософт. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ | Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в кластерах Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/hdi.cmk. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных | Включение шифрования на узле помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Аудит, отказ в доступе, отключено | 1.1.0 |
| Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом | Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом | Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | Аудит, отказ в доступе, отключено | 1.0.0 |
| Служба Bot должна шифроваться с помощью ключа, управляемого клиентом | Служба Azure Bot автоматически шифрует ваш ресурс для обеспечения защиты данных и соблюдения требований к безопасности и соответствию в организации. По умолчанию используются ключи шифрования, управляемые корпорацией Майкрософт. Для большей гибкости управления ключами или управления доступом к подписке выберите ключи, управляемые клиентом, которые также называются собственными ключами (BYOK). Подробнее о шифровании в службе Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Аудит, отказ в доступе, отключено | 1.1.2 |
| Для шифрования пространства имен концентратора событий должны использовать ключ, управляемый клиентом | Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью ключей, управляемых клиентом, позволяет назначать, сменять, отключать ключи, которые концентратор событий будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. | Аудит, отключено | 1.0.0 |
| Среда службы интеграции Logic Apps должна быть зашифрована с помощью ключей, управляемых клиентом | Выполните развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Элемент управления 1643, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. | Аудит, отказ в доступе, отключено | 3.0.0 |
| Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов | Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом | Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". | Аудит, отключено | 1.0.0 |
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Аудит, отказ в доступе, отключено | 2.0.1 |
| В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. | Аудит, отказ в доступе, отключено | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Аудит, отключено | 1.0.3 |
Доступность
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1644, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Доступность | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Симметричные ключи
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1645, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Симметричные ключи | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Асимметричные ключи
Идентификатор: NIST SP 800-53 Rev. 5 SC-12 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1646, контролируемый корпорацией Майкрософт, — установка криптографических ключей и управление ими | Асимметричные ключи | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-13 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1647, контролируемый корпорацией Майкрософт, — использование шифрования | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Совместно используемые вычислительные устройства и приложения
Идентификатор: NIST SP 800-53 ред. 5 SC-15 Ответственность: Shared
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1648, контролируемый корпорацией Майкрософт, — совместно работающие вычислительные устройства | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1649, контролируемый корпорацией Майкрософт, — совместно работающие вычислительные устройства | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Сертификаты инфраструктуры открытых ключей
Идентификатор: NIST SP 800-53 Rev. 5 SC-17 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1650, контролируемый корпорацией Майкрософт, — сертификаты инфраструктуры открытого ключа | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Мобильный код
Идентификатор: NIST SP 800-53 Rev. 5 SC-18 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1651, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1652, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1653, контролируемый корпорацией Майкрософт, — мобильный код | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Безопасная служба разрешения имен и адресов (заслуживающий доверия источник)
Идентификатор: NIST SP 800-53 Rev. 5 SC-20 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1656, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (заслуживающий доверия источник) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Элемент управления 1657, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (заслуживающий доверия источник) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Безопасная служба разрешения имен и адресов (рекурсивный или кэширующий сопоставитель)
Идентификатор: NIST SP 800-53 Rev. 5 SC-21 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1658, контролируемый корпорацией Майкрософт, — безопасная служба разрешения имен и адресов (рекурсивный или кэширующий сопоставитель) | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Архитектура службы разрешения имен и адресов и ее подготовка
Идентификатор: NIST SP 800-53 Rev. 5 SC-22 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1659, контролируемый корпорацией Майкрософт, — архитектура службы разрешения имен и адресов и ее подготовка | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Подлинность сеансов
Идентификатор: NIST SP 800-53 Rev. 5 SC-23 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1660, контролируемый корпорацией Майкрософт, — подлинность сеансов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Аннулирование идентификаторов сеанса при выходе
Идентификатор: NIST SP 800-53 Rev. 5 SC-23 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1661, контролируемый корпорацией Майкрософт, — подлинность сеансов | Аннулирование идентификаторов сеансов при выходе | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Сбой с переходом в известное состояние
Идентификатор: NIST SP 800-53 Rev. 5 SC-24 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1662, контролируемый корпорацией Майкрософт, — сбой с переходом в известное состояние | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Защита неактивных данных
Идентификатор: NIST SP 800-53 Rev. 5 SC-28 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Аудит, отключено | 1.0.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Аудит, отказ в доступе, отключено | 1.1.0 |
| В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Устройства Azure Stack Edge должны использовать двойное шифрование | Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Аудит, отказ в доступе, отключено | 2.0.0 |
| В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Элемент управления 1663, контролируемый корпорацией Майкрософт, — защита неактивных данных | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Аудит, отказ в доступе, отключено | 1.1.0 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, отключено | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Аудит, отказ в доступе, отключено | 1.0.0 |
Криптографическая защита
Идентификатор: NIST SP 800-53 Rev. 5 SC-28 (1) Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Аудит, отключено | 1.0.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Аудит, отказ в доступе, отключено | 1.1.0 |
| В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| Устройства Azure Stack Edge должны использовать двойное шифрование | Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. | аудит, Аудит, запретить, Запретить, отключено, Отключено | 1.1.0 |
| В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Аудит, отказ в доступе, отключено | 2.0.0 |
| В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Аудит, отказ в доступе, отключено | 2.0.0 |
| Элемент управления 1437, контролируемый корпорацией Майкрософт, — передача носителя | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления защитой данных на носителях | аудит | 1.0.0 |
| Элемент управления 1664, контролируемый корпорацией Майкрософт, — защита неактивных данных | Криптографическая защита | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Аудит, отказ в доступе, отключено | 1.1.0 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Аудит, отказ в доступе, отключено | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Аудит, отказ в доступе, отключено | 1.0.1 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, отключено | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Аудит, отказ в доступе, отключено | 1.0.0 |
Изоляция процессов
Идентификатор: NIST SP 800-53 Rev. 5 SC-39 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1665, контролируемый корпорацией Майкрософт, — изоляция процессов | Корпорация Майкрософт реализует этот элемент управления защитой системы и средств передачи данных | аудит | 1.0.0 |
Целостность системы и данных
Политика и процедуры
Идентификатор: NIST SP 800-53 ред. 5 SI-1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1666, контролируемый корпорацией Майкрософт, — политика и процедуры защиты целостности системы и данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1667, контролируемый корпорацией Майкрософт, — политика и процедуры защиты целостности системы и данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Исправление ошибок
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, отключено | 4.0.0 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, отключено | 4.0.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Аудит, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1668, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1669, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1670, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1671, контролируемый корпорацией Майкрософт, — исправление ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, отключено | 4.1.0 |
Состояние автоматического исправления недостатков
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1673, контролируемый корпорацией Майкрософт, — исправление ошибок | Автоматическое определение состояния исправления ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Время на исправление уязвимостей и эталоны для корректирующих действий
Идентификатор: NIST SP 800-53 Rev. 5 SI-2 (3) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1674, контролируемый корпорацией Майкрософт, — исправление ошибок | Время на исправление недостатков или эталоны для корректирующих действй | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1675, контролируемый корпорацией Майкрософт, — исправление ошибок | Время на устранение недостатков или эталоны для корректирующих действий | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Удаление предыдущих версий программного обеспечения и встроенного ПО
Идентификатор: NIST SP 800-53 ред. 5 SI-2 (6) Владение: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, отключено | 4.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, отключено | 4.0.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Аудит, отключено | 1.0.2 |
Защита от вредоносного кода
Идентификатор: NIST SP 800-53 Rev. 5 SI-3 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Элемент управления 1676, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1677, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1678, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1679, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1681, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Автоматические обновления | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1682, контролируемый корпорацией Майкрософт, — защита от вредоносного кода | Обнаружение без использования сигнатур | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, отключено | 1.1.1 |
Мониторинг системы
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, отключено | 4.0.1-preview |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, отключено | 1.0.2-превью |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, отключено | 1.0.2 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, отключено | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, отключено | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, отключено | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, отключено | 1.0.0 |
| Microsoft Defender для хранилища (классическая модель) должна быть включена | Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, отключено | 1.0.4 |
| Элемент управления 1683, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1684, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1685, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1686, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1687, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1688, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1689, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, отключено | 3.0.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, отключено | 1.0.1 |
Система обнаружения вторжений на уровне системы
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (1) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1690, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Система обнаружения вторжений на уровне системы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматизированные средства и механизмы для анализа в реальном времени
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (2) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1691, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Автоматизированные средства анализа в реальном времени | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Входящий и исходящий трафик коммуникаций
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (4) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1692, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Входящий и исходящий трафик коммуникаций | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Системные оповещения
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1693, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Системные оповещения | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Анализ аномалий трафика коммуникаций
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (11) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1694, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Анализ аномалий трафика коммуникаций | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматические оповещения, созданные организацией
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (12) Ответственность: Клиент
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, отключено | 2.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, отключено | 1.0.1 |
Обнаружение вторжения по беспроводной сети
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (14) Владение: Общий доступ
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1695, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Обнаружение вторжений по беспроводной сети | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Корреляция сведений мониторинга
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (16) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1696, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Корреляция сведений мониторинга | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Анализ трафика и скрытое извлечение данных
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (18) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1697, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Анализ трафика и скрытое извлечение данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Риск для отдельных пользователей
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (19) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1698, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Отдельные пользователи повышающие риск | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Привилегированные пользователи
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (20) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1699, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Привилегированные пользователи | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Несанкционированные сетевые службы
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (22) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1700, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Несанкционированные сетевые службы | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Устройства на основе узла
Идентификатор: NIST SP 800-53 ред. 5 SI-4 (23) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1701, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Устройства на основе узлов | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Индикаторы компрометации
Идентификатор: NIST SP 800-53 Rev. 5 SI-4 (24) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1702, контролируемый корпорацией Майкрософт, — мониторинг информационной системы | Индикаторы компрометации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Оповещения системы безопасности, рекомендации и директивы
Идентификатор: NIST SP 800-53 Rev. 5 SI-5 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1703, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1704, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1705, управляемый корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1706, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматические оповещения и предупреждения
Идентификатор: NIST SP 800-53 Rev. 5 SI-5 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1707, управляемый Корпорацией Майкрософт, — оповещения системы безопасности и рекомендации | Автоматизированные оповещения и помощники | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Проверка функций безопасности и конфиденциальности
Идентификатор: NIST SP 800-53 Rev. 5 SI-6 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1708, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1709, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1710, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1711, контролируемый корпорацией Майкрософт, — проверка функций безопасности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Целостность программного обеспечения, встроенного ПО и данных
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1712, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Проверки целостности
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 (1) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1713, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Проверки целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматические уведомления о нарушении целостности
Идентификатор: NIST SP 800-53 ред. 5 SI-7 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1714, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Автоматическое уведомление о нарушениях целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматическое реагирование на нарушения целостности
Идентификатор: NIST SP 800-53 Rev. 5 SI-7 (5) Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1715, управляемый корпорацией Майкрософт, — целостность программного обеспечения и информации | Автоматическое реагирование на нарушения целостности | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Интеграция обнаружения и реагирования
Идентификатор: NIST SP 800-53 ред. 5 SI-7 (7) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1716, управляемый Корпорацией Майкрософт, — целостность программного обеспечения и информации | Интеграция обнаружения и реагирования | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Защита от спама
Идентификатор: NIST SP 800-53 ред. 5 SI-8 Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1719, контролируемый корпорацией Майкрософт, — защита от спама | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1720, контролируемый корпорацией Майкрософт, — защита от спама | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Автоматическое обновление
Идентификатор: NIST SP 800-53 ред. 5 SI-8 (2) Ответственность: Майкрософт
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1722, контролируемый корпорацией Майкрософт, — защита от спама | Автоматические обновления | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Проверка ввода данных
Идентификатор: NIST SP 800-53 Rev. 5 SI-10 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1723, контролируемый корпорацией Майкрософт, — проверка ввода данных | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Обработка ошибок
Идентификатор: NIST SP 800-53 Rev. 5 SI-11 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1724, контролируемый корпорацией Майкрософт, — обработка ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| Элемент управления 1725, контролируемый корпорацией Майкрософт, — обработка ошибок | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Управление данными и их хранение
Идентификатор: NIST SP 800-53 Rev. 5 SI-12 Ответственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Элемент управления 1726, контролируемый корпорацией Майкрософт, — вывод, обработка и хранение информации | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
Защита памяти
Идентификатор: NIST SP 800-53 Rev. 5 SI-16 Собственность: совместная
| Имя. (портал Azure) |
Описание | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, отключено | 1.0.3 |
| Элемент управления 1727, контролируемый корпорацией Майкрософт, — защита памяти | Корпорация Майкрософт реализует этот элемент управления целостностью системы и данных | аудит | 1.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, отключено | 1.1.1 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.