Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Azure Resource Manager. Per altre Criteri di Azure predefinite per altri servizi, vedere Criteri di Azure definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
Azure Resource Manager
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | Verifica, Nega, Disabilitato | 1.1.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | VerificaSeNonEsiste, Disabilitato | 1.1.0 |
| Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source sono disponibili in https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Monitoraggio di Azure profilo di log deve raccogliere i log per le categorie 'write,' 'delete' e 'action' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo di log Monitoraggio di Azure che non esporta le attività da tutte le aree supportate Azure incluse quelle globali. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Monitoraggio di Azure soluzione 'Sicurezza e controllo' deve essere distribuita | Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure le sottoscrizioni devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli account Blocked con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare i log attività di Azure per lo streaming nell'area di lavoro Log Analytics specificata | Distribuisce le impostazioni di diagnostica per Azure Attività per trasmettere i log di controllo delle sottoscrizioni a un'area di lavoro Log Analytics per monitorare gli eventi a livello di sottoscrizione | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Defender per abilitare il servizio app | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per abilitare Azure SQL database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per abilitare i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source sono disponibili in https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Defender per abilitare Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Azure Defender per abilitare i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per i server SQL nei computer da abilitare | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare le Microsoft Defender di base per l'abilitazione dell'archiviazione (solo monitoraggio attività) | Microsoft Defender per Archiviazione fornisce il rilevamento delle minacce nativo Azure per gli account di archiviazione. Questo criterio abilita le funzionalità di base (Monitoraggio attività). Per una protezione completa, tra cui l'analisi malware e l'individuazione dei dati sensibili, usare aka.ms/DFStoragePolicy. Aggiornamento della versione principale: PerTransaction non è più supportato per le nuove abilitazioni dal 5 febbraio 2025 in poi. Gli account esistenti che lo usano rimangono supportati. Altre informazioni: aka.ms/DF-Storage/NewPlanMigration. | DistribuisciSeNonEsiste, Disattivato | 2.0.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DistribuisciSeNonEsiste, Disattivato | 2.1.1 |
| Configurare Log Analytics'area di lavoro e l'account di automazione per centralizzare i log e il monitoraggio | Distribuire un gruppo di risorse contenente Log Analytics'area di lavoro e un account di automazione collegato per centralizzare i log e il monitoraggio. L'account di automazione è un prerequisito per soluzioni come Aggiornamenti e Rilevamento modifiche. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.0 |
| Configurare il piano di microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare microsoft Defender CSPM da abilitare | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.2 |
| Configurare Microsoft Defender per abilitare Azure Cosmos DB | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Intelligence sulle minacce, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti malintenzionati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per il piano contenitori | Le nuove funzionalità vengono aggiunte continuamente a Defender per il piano Contenitori, che potrebbe richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Configurare Microsoft Defender per l'abilitazione dei contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_EXCLUDE_LINUX...) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_EXCLUDE_LINUX_...), per abilitare il provisioning automatico di MDE per i server Linux. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_UNIFIED_SOLUTION) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_UNIFIED_SOLUTION), per abilitare il provisioning automatico dell'agente unificato MDE per Windows Server 2012R2 e 2016. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP), per Windows computer di livello inferiore di cui è stato eseguito l'onboarding in MDE tramite MMA e il provisioning automatico di MDE in Windows Server 2019 , Windows Desktop virtuale e versioni successive. Deve essere attivato affinché le altre impostazioni (WDATP_UNIFIED e così via) funzionino. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per Key Vault piano | Microsoft Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Microsoft Defender per il piano Server | Le nuove funzionalità vengono aggiunte continuamente a Defender per i server, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per il piano server (P1 OR P2) | Assicura che la Microsoft Defender selezionata per il sottopiano Server (P1 o P2) sia abilitata a livello di sottoscrizione. Questo criterio supporta la selezione dinamica tramite parametri e applica la distribuzione se non è già configurata. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Microsoft Defender per l'abilitazione dell'archiviazione | Microsoft Defender per l'archiviazione è un livello nativo Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà tutte le Defender per le funzionalità di archiviazione; Monitoraggio delle attività, analisi malware e rilevamento delle minacce per i dati sensibili. Per altre informazioni sulle Defender per funzionalità e vantaggi di archiviazione, visitare aka.ms/DefenderForStorage. | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Configurare Microsoft Defender protezione dalle minacce per i servizi di intelligenza artificiale | Le nuove funzionalità vengono aggiunte continuamente alla protezione dalle minacce per i servizi di intelligenza artificiale, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare le sottoscrizioni per abilitare la regola di monitoraggio degli avvisi di integrità del servizio | Assegnabile a livello di sottoscrizione o gruppo di gestione, questo criterio garantisce che ogni sottoscrizione disponga di una regola di avviso di integrità del servizio configurata con condizioni di avviso e mapping ai gruppi di azioni come specificato nei parametri dei criteri. Per impostazione predefinita, crea un gruppo di risorse, una regola di avviso e un gruppo di azioni configurati per inviare messaggi di posta elettronica ai proprietari delle sottoscrizioni per tutti gli eventi di integrità del servizio. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.5.0 |
| Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.0.1 |
| Creare l'area di lavoro centrale Log Analytics per Analisi del traffico del flusso di rete virtuale nel gruppo di risorse specificato | Creare un'area di lavoro Log Analytics centrale nell'ambito assegnato e in Gruppo di risorse nwtarg-<subscriptionID> per impostazione predefinita per i flussi della rete virtuale. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Creare un account di archiviazione a livello di area per i flussi di rete virtuale in resourceGroupName RG | Crea un account di archiviazione a livello di area nell'ambito assegnato e nel gruppo di risorse nwtarg-subscriptionID<> per impostazione predefinita per i flussi della rete virtuale. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Deploy - Configurare le regole di eliminazione per gli avvisi di Centro sicurezza di Azure | Eliminare Centro sicurezza di Azure avvisi per ridurre l'affaticamento degli avvisi distribuendo regole di eliminazione nel gruppo di gestione o nella sottoscrizione. | deployIfNotExists | 1.0.0 |
| Esportare in Hub eventi come servizio attendibile per Microsoft Defender per il cloud dati | Abilitare l'esportazione in Hub eventi come servizio attendibile di dati Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione in Event Hub come configurazione di servizio attendibile con le condizioni e l'Event Hub di destinazione sull'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Esportare in Hub eventi per Microsoft Defender per il cloud dati | Abilitare l'esportazione nell'hub eventi dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'hub eventi con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.2.0 |
| esportazione di Deploy nell'area di lavoro Log Analytics per Microsoft Defender per il cloud dati | Abilitare l'esportazione in Log Analytics'area di lavoro dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione in Log Analytics configurazione dell'area di lavoro con le condizioni e l'area di lavoro di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender per il cloud alerts | Abilitare l'automazione degli avvisi di Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender per il cloud recommendations | Abilitare l'automazione delle raccomandazioni Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender per il cloud compliance alle normative | Abilitare l'automazione della conformità alle normative Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Enable Microsoft Defender per il cloud nella sottoscrizione | Identifica le sottoscrizioni esistenti che non vengono monitorate da Microsoft Defender per il cloud e le protegge con le funzionalità gratuite di Defender per il cloud. Le sottoscrizioni già monitorate verranno considerate conformi. Per registrare le sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 1.0.1 |
| Provisioning automatico del Centro sicurezza di Log Analytics nelle sottoscrizioni con area di lavoro personalizzata. | Consentire al Centro sicurezza di effettuare automaticamente il provisioning dell'agente Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza usando un'area di lavoro personalizzata. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Provisioning automatico del Centro sicurezza di Log Analytics nelle sottoscrizioni con area di lavoro predefinita. | Consentire al Centro sicurezza di effettuare automaticamente il provisioning dell'agente Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza usando l'area di lavoro predefinita del Centro sicurezza di Azure. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Abilitare la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale | Microsoft la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale fornisce avvisi di sicurezza contestualizzati basati su prove volti a proteggere le applicazioni basate su intelligenza artificiale generative cresciute a casa | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse Azure fatturate in base all'utilizzo. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di lettura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di scrittura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Microsoft Defender per i servizi di intelligenza artificiale deve essere abilitato | Controllare se Microsoft Defender per i servizi di intelligenza artificiale è abilitato nella sottoscrizione. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Microsoft Defender per Azure Cosmos DB | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Intelligence sulle minacce, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti malintenzionati. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | deny | 1.0.0 |
| Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | deny | 1.0.0 |
| Configurare le sottoscrizioni per la transizione a una soluzione di valutazione della vulnerabilità alternativa | Microsoft Defender per il cloud offre l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. L'abilitazione di questo criterio causerà la propagazione automatica dei risultati Defender per il cloud dalla soluzione predefinita di gestione delle vulnerabilità Microsoft Defender a tutti i computer supportati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Criteri di Azure GitHub.
- Esaminare la struttura di definizione Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.