Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Azure Policy definizioni di criteri predefinite per Azure servizi di rete. Per altre Azure Policy predefinite per altri servizi, vedere Azure Policy definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Azure Policy GitHub.
Azure servizi di rete
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center ha rilevato che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitando l'accesso a tali subnet con Azure Firewall o un firewall di nuova generazione supportato | VerificaSeNonEsiste, Disabilitato | 3.0.0-preview | |
| [Anteprima]: I gateway applicazione devono essere resilienti per la zona | I gateway applicazione possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I gateway applicativi che hanno esattamente una voce nel loro array di zone sono considerati allineati alle zone. Al contrario, i gateway applicativi con 3 o più voci nell'array delle zone vengono riconosciuti come ridondanti. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: Configurare Azure insiemi di credenziali di Servizi di ripristino per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per la risoluzione in Insiemi di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per usare le zone DNS privati per il backup | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PrivateEndpoints. | DistribuisciSeNonEsiste, Disattivato | 1.0.1-preview |
| [Anteprima]: I firewall devono essere resilienti alla zona | I firewall possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I firewall che hanno esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i firewall con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: i servizi di bilanciamento del carico devono essere resilienti per la zona | I servizi di bilanciamento del carico con uno SKU diverso da Basic ereditano la resilienza degli indirizzi IP pubblici nel front-end. Se combinato con i criteri "Indirizzi IP pubblici deve essere resiliente alla zona", questo approccio garantisce la ridondanza necessaria per resistere a un'interruzione della zona. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: Il gateway NAT deve essere allineato alla zona | Il gateway NAT può essere configurato in modo che sia allineato o meno alla zona. Il gateway NAT con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un gateway NAT sia configurato per funzionare all'interno di una singola zona di disponibilità. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: Gli indirizzi IP pubblici devono essere resilienti per la zona | Gli indirizzi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. Gli indirizzi IP pubblici a livello di area, con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, gli indirizzi IP pubblici a livello di area, con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Verifica, Nega, Disabilitato | 1.1.0-preview |
| [Anteprima]: I prefissi IP pubblici devono essere resilienti alla zona | I prefissi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I prefissi IP pubblici con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i prefissi IP pubblici con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| [Anteprima]: I gateway di rete virtuale devono essere ridondanti della zona | I gateway di rete virtuale possono essere configurati in modo che siano ridondanti o meno della zona. I gateway di rete virtuale il cui nome o livello SKU non termina con "AZ" non sono ridondanti della zona. Questo criterio identifica i gateway di rete virtuale privi della ridondanza necessaria per resistere a un'interruzione della zona. | Verifica, Nega, Disabilitato | 1.0.0-preview |
| A criterio IPsec/IKE personalizzato deve essere applicato a tutte le connessioni gateway di rete virtuale Azure | Questo criterio garantisce che tutte le connessioni Azure gateway di rete virtuale usino criteri IKE (Internet Protocol Security)/Internet Key Exchange(IKE) personalizzati. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Controllo, Disabilitato | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| Azure Application Gateway deve essere distribuito con Azure WAF | Richiede Azure Application Gateway risorse da distribuire con Azure WAF. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Application Gateway devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Azure Application Gateway (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure Protezione DDoS deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | VerificaSeNonEsiste, Disabilitato | 3.0.1 |
| Azure Firewall è necessario eseguire la migrazione delle regole classiche ai criteri firewall | Eseguire la migrazione da Azure Firewall regole classiche ai criteri firewall per usare strumenti di gestione centralizzati, ad esempio Azure Firewall Manager. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Analisi criteri deve essere abilitata | L'abilitazione di Analisi dei criteri offre visibilità avanzata sul traffico che scorre attraverso Azure Firewall, consentendo l'ottimizzazione della configurazione del firewall senza influire sulle prestazioni dell'applicazione | Controllo, Disabilitato | 1.0.0 |
| Azure Firewall Criteri devono abilitare Intelligence per le minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini vengono originati dal feed di Intelligence sulle minacce Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Criterio deve avere proxy DNS abilitato | L'abilitazione del proxy DNS effettuerà il Azure Firewall associato a questo criterio per l'ascolto sulla porta 53 e inoltrare le richieste DNS al server DNS specificato | Controllo, Disabilitato | 1.0.0 |
| Azure Firewall deve essere distribuito per estendersi su più Availability Zones | Per una maggiore disponibilità, è consigliabile distribuire il Azure Firewall per estendersi su più Availability Zones. In questo modo si garantisce che il Azure Firewall rimanga disponibile in caso di errore della zona. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Standard - Le regole classiche devono abilitare Intelligence per le minacce | I filtri basati sull'intelligence per le minacce possono essere abilitati per il firewall per la creazione di avvisi e il rifiuto del traffico da o verso indirizzi IP e domini dannosi noti. Gli indirizzi IP e i domini vengono originati dal feed di Intelligence sulle minacce Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Firewall Standard deve essere aggiornato a Premium per la protezione di nuova generazione | Se si sta cercando una protezione di nuova generazione, ad esempio IDPS e ispezione TLS, è consigliabile aggiornare il Azure Firewall allo SKU Premium. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Front Door devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Azure Front Door (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure i gateway VPN non devono usare lo SKU 'basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Controllo, Disabilitato | 1.0.0 |
| Azure Web Application Firewall in Azure Application Gateway deve essere abilitata l'ispezione del corpo della richiesta | Assicurarsi che i web application firewall associati a Azure Application gateway dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Web Application Firewall in Azure Front Door deve essere abilitata l'ispezione del corpo della richiesta | Assicurarsi che i web application firewall associati a Azure Frontdoor dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Web Application Firewall deve essere abilitato per Azure Front Door punti di ingresso | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 1.0.2 |
| Bot Protection deve essere abilitato per Azure Application Gateway WAF | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri di Azure Application Gateway Web Application Firewall (WAF) | Verifica, Nega, Disabilitato | 1.0.0 |
| È necessario abilitare Bot Protection per Azure Front Door WAF | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri di Azure Front Door Web Application Firewall (WAF) | Verifica, Nega, Disabilitato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID blob_secondario | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID blob_secondario. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID dfs_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID dfs_secondary. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID file | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID file. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID coda | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID coda. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID queue_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID queue_secondary. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID tabella | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID tabella. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID table_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID table_secondary. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare un ID zona DNS privato per groupID web_secondary | Configurare gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di groupID web_secondary. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le app del servizio app affinché usino zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega una rete virtuale a un servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i servizi di Azure AI Search per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per risolvere il servizio Azure AI Search. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare gli ambiti di Azure Arc Private Link per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Azure Arc Private Link ambiti. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare gli account Azure Automation con zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. È necessaria una zona DNS privata configurata correttamente per connettersi all'account Azure Automation tramite Azure Private Link. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Cache for Redis Enterprise per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere Azure Cache for Redis Enterprise. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Cache for Redis per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere Azure Cache for Redis. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Databricks'area di lavoro per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le Azure Databricks aree di lavoro. Per altre informazioni, vedere https://aka.ms/adbpe. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Aggiornamento dispositivi per gli account IoT Hub per l'uso di zone DNS private | Azure Private DNS fornisce un servizio DNS affidabile e sicuro per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per Aggiornamento dispositiviper IoT Hub endpoint privati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure File Sync per usare zone DNS private | Per accedere agli endpoint privati per le interfacce delle risorse del servizio di sincronizzazione archiviazione da un server registrato, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record Azure Private DNS zona e A necessari per le interfacce degli endpoint privati del servizio di sincronizzazione archiviazione. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i cluster Azure HDInsight per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere i cluster Azure HDInsight. Per altre informazioni, vedere https://aka.ms/hdi.pl. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare gli insiemi di credenziali delle chiavi Azure per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Machine Learning'area di lavoro per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere le Azure Machine Learning aree di lavoro. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare le aree di lavoro Azure Managed Grafana per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le Azure Managed Grafana aree di lavoro. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le risorse di Azure Migrate per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il progetto di Azure Migrate. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Monitor Private Link Ambito per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Azure Monitor ambito di collegamento privato. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le aree di lavoro Azure Synapse per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Azure Synapse'area di lavoro. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DistribuisciSeNonEsiste, Disattivato | 2.0.0 |
| Configurare le risorse del pool di host Azure Virtual Desktop per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per risolvere Azure Virtual Desktop risorse. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le risorse dell'area di lavoro di Azure Virtual Desktop per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata si collega alla rete virtuale per risolvere Azure Virtual Desktop risorse. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Web PubSub Servizio per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Azure Web PubSub servizio. Per altre informazioni, vedere https://aka.ms/awps/privatelink. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le risorse del servizio del bot per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse correlate a BotService. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare gli account Servizi cognitivi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli account di Servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2110097. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare i registri Container per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere il problema nel Registro Container. Altre informazioni su https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare gli account Cosmos DB per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account CosmosDB. Per altre informazioni, vedere https://aka.ms/privatednszone. | DistribuisciSeNonEsiste, Disattivato | 2.0.0 |
| Configurare le impostazioni di diagnostica per Azure gruppi di sicurezza di rete per Log Analytics'area di lavoro | Distribuire le impostazioni di diagnostica in Azure gruppi di sicurezza di rete per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le risorse di accesso al disco per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un disco gestito. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare gli spazi dei nomi dell'hub eventi per usare zone private DNS | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare la condivisione file con Microsoft. Condivisioni file per usare zone DNS private | Per accedere agli endpoint privati per Microsoft. Le risorse FileShares, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record Azure Private DNS zona e A necessari per le interfacce del Microsoft. FileShares private endpoint(s). | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare IoT Hub istanze di device provisioning per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per la risoluzione in un'istanza del servizio device provisioning IoT Hub. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione dei log dei flussi specifici per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare zone private DNS per gli endpoint privati connessi a Configurazione app | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere le istanze di configurazione dell'app. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le zone DNS private per gli endpoint privati che si connettono a Azure Data Factory | Private DNS record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata al Azure Data Factory senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Azure Data Factory, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le zone DNS private per gli endpoint privati che si connettono a account Azure Maps. | Private DNS record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata all'account Azure Maps senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Private Link per Azure AD per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere Azure AD. Per altre informazioni, vedere https://aka.ms/privateLinkforAzureADDocs. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare gli spazi dei nomi Service Bus per usare zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Service Bus spazi dei nomi. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DistribuisciSeNonEsiste, Disattivato | 1.1.2 |
| Creare NetworkWatcher a livello di area in NetworkWatcherRG per i flussi di rete virtuale | Questo criterio crea un Network Watcher nell'area specificata per abilitare flowlog per le reti virtuali. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Deploy - Configurare i domini di Azure Event Grid per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabilitato | 1.1.0 |
| Deploy - Configurare Azure Event Grid argomenti per l'uso di zone DNS private | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabilitato | 1.1.0 |
| Deploy - Configurare hub di Azure IoT per l'uso di zone DNS private | Azure Private DNS fornisce un servizio DNS affidabile e sicuro per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per IoT Hub endpoint privati. | deployIfNotExists, DeployIfNotExists, disabilitato, Disabilitato | 1.1.0 |
| Distribuire - Configurare IoT Central per l'uso di zone DNS private | Azure Private DNS fornisce un servizio DNS affidabile e sicuro per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio implementa una zona DNS privata per gli endpoint privati di IoT Central. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Deploy - Configurare le zone DNS private per gli endpoint privati si connettono a Azure SignalR Service | È possibile usare zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere Azure SignalR Service risorsa. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Distribuire - Configurare le zone DNS privato per gli endpoint privati che si connettono agli account Batch | Private DNS record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Batch, vedere https://docs.microsoft.com/azure/batch/private-connectivity. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DistribuisciSeNonEsiste, Disattivato | 1.1.1 |
| Distribuire le impostazioni di diagnostica per i gruppi di sicurezza di rete | Questo criterio distribuisce automaticamente le impostazioni diagnostiche nei gruppi di sicurezza di rete. Verrà creato automaticamente un account di archiviazione con il nome '{storagePrefixParameter}{NSGLocation}'. | deployIfNotExists | 2.0.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Deploy VNet Flow Logs with Traffic Analytics for VNets with regional Storage and centraled Log Analytics | Distribuire i log dei flussi di rete virtuale con Analisi del traffico per le reti virtuali con archiviazione a livello di area e Log Analytics centralizzati. Prima della correzione, assicurarsi che il gruppo di risorse resourceGroupName, l'account di archiviazione Log Analytics l'area di lavoro Network Watcher siano già distribuiti. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Application gateways (microsoft.network/applicationgateways) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for Bastions (microsoft.network/bastionhosts) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for ExpressRoute circuits (microsoft.network/expressroutecircuits) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Firewall (microsoft.network/azurefirewalls) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Firewalls (microsoft.network/azurefirewalls) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for Frontdoor and CDN profiles (microsoft.network/frontdoors) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili Frontdoor e rete CDN (microsoft.network/frontdoors) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili Frontdoor e rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Load Balancers (microsoft.network/loadbalancers) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.network/dnsresolverpolicies to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.network/networkmanagers/ipampools to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.network/networksecurityperimeters to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for microsoft.network/p2svpngateways to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.network/vpngateways to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.networkanalytics/dataproducts to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.networkcloud/baremetalmachines to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.networkcloud/clusters to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.networkcloud/storageappliances to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for microsoft.networkfunction/azuretrafficcollectors to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per manager di rete (microsoft.network/networkmanagers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Network Manager (microsoft.network/networkmanagers) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gestori di rete (microsoft.network/networkmanagers) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Network security groups (microsoft.network/networksecuritygroups) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per indirizzi IP pubblici (microsoft.network/publicipaddresses) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for Public IP addresses (microsoft.network/publicipaddresses) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Public IP Prefixes (microsoft.network/publicipprefixes) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Traffic Manager profiles (microsoft.network/trafficmanagerprofiles) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.2.0 |
| Enable logging by category group for Virtual network gateways (microsoft.network/virtualnetworkgateways) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Virtual networks (microsoft.network/virtualnetworks) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| regola limite di frequenza Enable per proteggere da attacchi DDoS Azure Front Door WAF | La regola di limite di frequenza Azure Web Application Firewall (WAF) per Azure Front Door controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Verifica, Nega, Disabilitato | 1.0.0 |
| I log dei flussi devono essere configurati per tutti i gruppi di sicurezza di rete | Controllare i gruppi di sicurezza di rete per verificare se sono considerati i log dei flussi. I log dei flussi consentono di registrare le informazioni sul flusso del traffico IP tramite il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Controllo, Disabilitato | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | deny | 1.0.0 |
| Eseguire la migrazione del WAF dalla configurazione WAF ai criteri WAF nel gateway applicazione | Se si dispone della configurazione WAF anziché dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le interfacce di rete devono essere connesse a una subnet approvata della rete virtuale approvata | Questo criterio impedisce alle interfacce di rete di connettersi a una rete virtuale o a una subnet non approvata. https://aka.ms/VirtualEnclaves | Verifica, Nega, Disabilitato | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. L'impostazione dell'inoltro IP disabilita Azure controllo dell'origine e della destinazione per un'interfaccia di rete. Questo criterio deve essere verificato dal team di sicurezza della rete. | deny | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso alle risorse Azure e Azure risorse per comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | deny | 1.0.0 |
| Network Watcher i log dei flussi devono essere abilitati per l'analisi del traffico | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni Azure e identificare i punti di accesso, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Controllo, Disabilitato | 1.0.1 |
| è necessario abilitare Network Watcher | Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, a e da Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Gli indirizzi IP pubblici devono avere i log delle risorse abilitati per Azure Protezione DDoS | Abilitare i log delle risorse per gli indirizzi IP pubblici nelle impostazioni di diagnostica per lo streaming in un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico di attacco e sulle azioni intraprese per mitigare gli attacchi DDoS tramite notifiche, report e log dei flussi. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.1 |
| Gli indirizzi IP pubblici e i prefissi IP pubblici devono avere il tag FirstPartyUsage | Verificare che tutti gli indirizzi IP pubblici e i prefissi IP pubblici abbiano un tag FirstPartyUsage. | Verifica, Nega, Disabilitato | 1.1.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole elenco di Access Control che consentono o negano il traffico di rete verso la subnet. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le subnet devono essere private | Assicurarsi che le subnet siano protette per impostazione predefinita impedendo l'accesso in uscita predefinito. Per altre informazioni, passare a https://aka.ms/defaultoutboundaccessretirement | Verifica, Nega, Disabilitato | 1.1.0 |
| Gli hub virtuali devono essere protetti con Azure Firewall | Distribuire un Azure Firewall negli hub virtuali per proteggere e controllare in modo granulare il traffico internet in uscita e in ingresso. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le reti virtuali devono essere protette da Azure Protezione DDoS | Proteggere le reti virtuali da attacchi volumetrici e protocolli con protezione DDoS Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo identità Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Verifica, Nega, Disabilitato | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 2.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che l'uso della modalità "Rilevamento" o "Prevenzione" sia attivo in tutti i criteri di Web Application Firewall per il gateway applicazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per Azure Front Door Service | Impone che l'uso della modalità "Rilevamento" o "Prevenzione" sia attivo in tutti i criteri di Web Application Firewall per Azure Front Door Service. | Verifica, Nega, Disabilitato | 1.0.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Azure Policy GitHub.
- Esaminare la struttura di definizione Azure Policy.
- Leggere Informazioni sugli effetti di Criteri.