Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista Azure Policy definições de política internas relacionadas ao Microsoft cloud security benchmark v2 (versão prévia). Cada controle do parâmetro de comparação é mapeado para uma ou mais definições de Azure Policy.
Compliant no Azure Policy refere-se apenas às próprias definições de política; isso não garante que você esteja totalmente em conformidade com todos os requisitos de um controle. O padrão de conformidade inclui controles que não são abordados por nenhuma definição de Azure Policy no momento. Portanto, a conformidade em Azure Policy é apenas uma exibição parcial do seu status de conformidade geral.
As associações entre controles e definições de Azure Policy para esse padrão de conformidade podem mudar ao longo do tempo.
IA-1: garantir o uso de modelos aprovados
Para obter mais informações, consulte Segurança de Inteligência Artificial: IA-1: garantir o uso de modelos aprovados.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| [Versão prévia]: implantações de Azure Machine Learning devem usar apenas modelos de registro aprovados | Restrinja a implantação de modelos de Registro para controlar modelos criados externamente usados em sua organização | Auditoria; Negar; Desactivado | 1.0.0-preview |
| [Versão prévia]: as implantações do Registro de Modelo Azure Machine Learning são restritas, exceto pelo Registro permitido | Implante apenas os Modelos de Registro no Registro permitido e que não sejam restritos. | n/a | 1.0.0-preview |
AM-2: usar apenas serviços aprovados
Para obter mais informações, consulte o Gerenciamento de Ativos: AM-2: use apenas serviços aprovados.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Gerenciamento de API do Azure versão da plataforma deve ser stv2 | Gerenciamento de API do Azure versão da plataforma de computação stv1 será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em API Management stv1 platform retirement – Global Azure cloud (agosto de 2024) | Auditoria; Negar; Desactivado | 1.0.0 |
| as contas Storage devem ser migradas para novos recursos de Azure Resource Manager | Use novos Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria; Negar; Desactivado | 1.0.0 |
| as contas Storage devem ser migradas para novos recursos de Azure Resource Manager | Use novos Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas em Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos Azure Autenticação baseada em AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria; Negar; Desactivado | 1.0.0 |
AM-3: garantir a segurança do gerenciamento do ciclo de vida do ativo
Para obter mais informações, consulte Asset Management: AM-3: garantir a segurança do gerenciamento do ciclo de vida do ativo.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| os pontos de extremidade API não utilizados devem ser desabilitados e removidos do serviço Gerenciamento de API do Azure | Como prática recomendada de segurança, os pontos de extremidade de API que não recebem tráfego há 30 dias são considerados não utilizados e devem ser removidos do serviço Gerenciamento de API do Azure. Manter pontos de extremidade de API não utilizados pode representar um risco de segurança para sua organização. Essas podem ser APIs que deveriam ter sido preteridas do serviço de Gerenciamento de API do Azure, mas podem ter sido acidentalmente deixadas ativas. Normalmente, essas APIs não recebem a cobertura de segurança mais atualizada. | AuditIfNotExists; Desactivado | 1.0.1 |
BR-1: garantir backups automatizados regulares
Para obter mais informações, consulte Backup e Recuperação: BR-1: garantir backups automatizados regulares.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Backup do Azure deve ser habilitado para Máquinas Virtuais | Verifique a proteção do Máquinas Virtuais do Azure habilitando Backup do Azure. Backup do Azure é uma solução de proteção de dados segura e econômica para Azure. | AuditIfNotExists; Desactivado | 3.0.0 |
| Backup com redundância degeo deve ser habilitado para Banco de Dados do Azure para MySQL | Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um backup com redundância geográfica storage no qual os dados não só são armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer a opção de recuperação em caso de falha na região. A configuração de storage com redundância geográfica para backup só é permitida durante a criação do servidor. | Auditoria; Desactivado | 1.0.1 |
| O backup com redundância Geo deve ser habilitado para Banco de Dados do Azure para PostgreSQL | Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um backup com redundância geográfica storage no qual os dados não só são armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer a opção de recuperação em caso de falha na região. A configuração de storage com redundância geográfica para backup só é permitida durante a criação do servidor. | Auditoria; Desactivado | 1.0.1 |
BR-2: proteger dados de backup e recuperação
Para obter mais informações, consulte Backup e Recuperação: BR-2: proteger dados de backup e recuperação.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Backup do Azure deve ser habilitado para Máquinas Virtuais | Verifique a proteção do Máquinas Virtuais do Azure habilitando Backup do Azure. Backup do Azure é uma solução de proteção de dados segura e econômica para Azure. | AuditIfNotExists; Desactivado | 3.0.0 |
| Backup com redundância degeo deve ser habilitado para Banco de Dados do Azure para MySQL | Banco de Dados do Azure para MySQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um backup com redundância geográfica storage no qual os dados não só são armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer a opção de recuperação em caso de falha na região. A configuração de storage com redundância geográfica para backup só é permitida durante a criação do servidor. | Auditoria; Desactivado | 1.0.1 |
| O backup com redundância Geo deve ser habilitado para Banco de Dados do Azure para PostgreSQL | Banco de Dados do Azure para PostgreSQL permite que você escolha a opção de redundância para o servidor de banco de dados. Ele pode ser definido como um backup com redundância geográfica storage no qual os dados não só são armazenados na região em que o servidor está hospedado, mas também são replicados para uma região emparelhada para fornecer a opção de recuperação em caso de falha na região. A configuração de storage com redundância geográfica para backup só é permitida durante a criação do servidor. | Auditoria; Desactivado | 1.0.1 |
| [Versão prévia]: a Imutabilidade deve ser habilitada para cofres dos Serviços de Recuperação | Esta política audita se a propriedade de cofres imutáveis está ativada para os cofres dos Serviços de Recuperação no escopo. Isso ajuda a evitar que seus dados de backup sejam excluídos antes da expiração pretendida. Saiba mais em Concept do cofre Imutável para Backup do Azure. | Auditoria; Desactivado | 1.0.1-preview |
| [Versão prévia]: a Imutabilidade deve ser habilitada para cofres de backup | Essa política audita se a propriedade de cofres imutáveis estiver habilitada para cofres de Backup no escopo. Isso ajuda a evitar que seus dados de backup sejam excluídos antes da expiração pretendida. Saiba mais em Concept do cofre Imutável para Backup do Azure. | Auditoria; Desactivado | 1.0.1-preview |
| [Versão prévia]: a exclusão reversível deve ser habilitada para Cofres de Backup | Essa política audita se a exclusão reversível estiver habilitada para cofres de Backup no escopo. A exclusão reversível pode ajudá-lo a recuperar seus dados depois que eles tiverem sido excluídos. Saiba mais em Overview da exclusão reversível aprimorada para Backup do Azure | Auditoria; Desactivado | 1.0.0-preview |
DP-1: descobrir, classificar e rotular dados confidenciais
Para obter mais informações, consulte Proteção de Dados: DP-1: Descobrir, classificar e rotular dados confidenciais.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists; Desactivado | 1.0.3 |
DP-2: Monitorar anomalias e ameaças direcionadas a dados confidenciais
Para obter mais informações, consulte Proteção de Dados: DP-2: Monitorar anomalias e ameaças direcionadas a dados confidenciais.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em Overview de Defender para bancos de dados relacionais Open-Source. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists; Desactivado | 1.0.3 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta storage) para controle sobre a cobertura e os custos. | AuditIfNotExists; Desactivado | 1.0.0 |
DP-3: Criptografar dados confidenciais em trânsito
Para obter mais informações, consulte Proteção de Dados: DP-3: criptografar dados confidenciais em trânsito.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management APIs devem usar apenas protocolos criptografados | Para garantir a segurança dos dados em trânsito, as APIs devem estar disponíveis apenas por meio de protocolos criptografados, como HTTPS ou WSS. Evite usar protocolos inseguros, como HTTP ou WS. | Auditoria; Desactivado; Negar | 2.0.2 |
| Ambiente do Serviço de Aplicativo deve ser configurado com conjuntos de criptografia TLS mais fortes | Os dois conjuntos de criptografia mais mínimos e mais fortes necessários para que Ambiente do Serviço de Aplicativo funcionem corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Auditoria; Desactivado | 1.0.0 |
| Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | O TLS 1.0 e 1.1 são protocolos desatualizados que não dão suporte a algoritmos de criptografia modernos. Desabilitar o tráfego TLS 1.0 e 1.1 de entrada ajuda a proteger aplicativos em um Ambiente do Serviço de Aplicativo. | Auditoria; Negar; Desactivado | 2.0.1 |
| Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | Definir InternalEncryption como true criptografa o arquivo de página, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhos em um Ambiente do Serviço de Aplicativo. Para saber mais, consulte as configurações Custom para ambientes App Service. | Auditoria; Desactivado | 1.0.1 |
| App Service slots de aplicativo devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego de front-end intra-cluster entre App Service front-ends e os trabalhadores que executam cargas de trabalho de aplicativo sejam criptografados. | Auditoria; Negar; Desactivado | 1.0.0 |
| App Service slots de aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para App Service aplicativos para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists; Desactivado | 1.2.0 |
| App Service aplicativos devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego de front-end intra-cluster entre App Service front-ends e os trabalhadores que executam cargas de trabalho de aplicativo sejam criptografados. | Auditoria; Negar; Desactivado | 1.0.0 |
| App Service aplicativos só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria; Desactivado; Negar | 4.0.0 |
| App Service aplicativos devem exigir apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists; Desactivado | 3.0.0 |
| App Service aplicativos devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para App Service aplicativos para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists; Desactivado | 2.2.0 |
| Lote do Azure pools devem ter a criptografia de disco habilitada | Habilitar Lote do Azure criptografia de disco garante que os dados sejam sempre criptografados em repouso em seu nó de computação Lote do Azure. Saiba mais sobre a criptografia de disco no Lote em Criar um pool com criptografia de disco habilitada. | Auditoria; Desactivado; Negar | 1.0.0 |
| Azure Front Door Standard e Premium devem estar executando a versão mínima do TLS 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que seus domínios personalizados sejam acessados de clientes usando o TLS 1.2 ou mais recente. Não é recomendável usar versões do TLS menores que 1.2, pois elas são fracas e não dão suporte a algoritmos criptográficos modernos. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure HDInsight clusters devem usar criptografia em trânsito para criptografar a comunicação entre nós de cluster Azure HDInsight | Os dados podem ser adulterados durante a transmissão entre nós de cluster Azure HDInsight. Habilitar a criptografia em trânsito resolve problemas de uso indevido e adulteração durante essa transmissão. | Auditoria; Negar; Desactivado | 1.0.0 |
| Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que seus Banco de Dados SQL do Azure só possam ser acessados de clientes usando o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria; Desactivado; Negar | 2.0.0 |
| Serviço de Bot ponto de extremidade deve ser um URI HTTPS válido | Os dados podem ser adulterados durante a transmissão. Existem protocolos que fornecem criptografia para resolver problemas de uso indevido e adulteração. Para garantir que seus bots estejam se comunicando apenas por canais criptografados, defina o ponto de extremidade como um URI HTTPS válido. Isso garante que o protocolo HTTPS seja usado para criptografar seus dados em trânsito e também geralmente é um requisito para conformidade com padrões regulatórios ou do setor. Visite: diretrizes de segurança do Bot Framework. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados MySQL | Banco de Dados do Azure para MySQL dá suporte à conexão do servidor Banco de Dados do Azure para MySQL a aplicativos cliente usando o SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Auditoria; Desactivado | 1.0.1 |
| 'Impor conexão SSL' deve ser habilitada para servidores de banco de dados PostgreSQL | Banco de Dados do Azure para PostgreSQL dá suporte à conexão do servidor Banco de Dados do Azure para PostgreSQL a aplicativos cliente usando o SSL (Secure Sockets Layer). Impor conexões SSL entre seu servidor de banco de dados e os aplicativos cliente ajuda a proteger contra ataques de "intermediários" criptografando o fluxo de dados entre o servidor e seu aplicativo. Essa configuração impõe que o SSL sempre esteja habilitado para acessar seu servidor de banco de dados. | Auditoria; Desactivado | 1.0.1 |
| os slots de aplicativo Function devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego de front-end intra-cluster entre App Service front-ends e os trabalhadores que executam cargas de trabalho de aplicativo sejam criptografados. | Auditoria; Negar; Desactivado | 1.1.0 |
| os slots de aplicativo Function devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists; Desactivado | 1.3.0 |
| os aplicativos Function devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego de front-end intra-cluster entre App Service front-ends e os trabalhadores que executam cargas de trabalho de aplicativo sejam criptografados. | Auditoria; Negar; Desactivado | 1.1.0 |
| os aplicativos Function só devem estar acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria; Desactivado; Negar | 5.1.0 |
| os aplicativos Function devem exigir apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists; Desactivado | 3.1.0 |
| os aplicativos Function devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists; Desactivado | 2.3.0 |
| os clusters Kubernetes devem estar acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação e protege os dados em trânsito de ataques de interceptação de camada de rede. Atualmente, essa funcionalidade está disponível para o AKS (Serviço de Kubernetes) e em versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, visite Understand Azure Policy para clusters kubernetes | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 8.2.0 |
| Conexões seguras somente para seu Cache do Azure para Redis devem estar habilitadas | Auditar a habilitação somente de conexões por meio do SSL para Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Auditoria; Negar; Desactivado | 1.0.0 |
| PostgreSQL servidores flexíveis devem estar executando o TLS versão 1.2 ou mais recente | Essa política ajuda a auditar todos os servidores flexíveis do PostgreSQL em seu ambiente que está em execução com a versão TLS menor que 1.2. | AuditIfNotExists; Desactivado | 1.1.0 |
| Instância Gerenciada de SQL deve ter a versão mínima do TLS 1.2 | Definir a versão mínima do TLS como 1.2 melhora a segurança, garantindo que seus Instância Gerenciada de SQL só possam ser acessados de clientes usando o TLS 1.2. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria; Desactivado | 1.0.1 |
| A transferência segura para contas de armazenamento deve ser habilitada | Requisito de auditoria da transferência segura em sua conta de storage. A transferência segura é uma opção que força sua conta storage a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Auditoria; Negar; Desactivado | 2.0.0 |
| Storage contas devem ter a versão mínima do TLS especificada | Configure uma versão mínima do TLS para comunicação segura entre o aplicativo cliente e a conta storage. Para minimizar o risco de segurança, a versão mínima recomendada do TLS é a mais recente lançada, que é o TLS 1.2. | Auditoria; Negar; Desactivado | 1.0.0 |
| Windows computadores devem ser configurados para usar protocolos de comunicação seguros | Para proteger a privacidade das informações comunicadas pela Internet, os computadores devem usar a última versão do protocolo de criptografia padrão do setor, o protocolo TLS. O TLS protege as comunicações em uma rede criptografando uma conexão entre computadores. | AuditIfNotExists; Desactivado | 4.1.1 |
| [Versão prévia]: a rede de host e VM deve ser protegida em Azure Stack sistemas HCI | Proteja dados na rede de hosts HCI Azure Stack e em conexões de rede de máquina virtual. | Auditoria; Desactivado; AuditIfNotExists | 1.0.0-preview |
DP-4: Habilitar a criptografia de dados em repouso por padrão
Para obter mais informações, consulte Proteção de Dados: DP-4: habilitar a criptografia de dados em repouso por padrão.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| A administrador de Microsoft Entra deve ser provisionado para servidores MySQL | Audite o provisionamento de um administrador de Microsoft Entra para o servidor MySQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists; Desactivado | 1.1.1 |
| as variáveis de conta Automation devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Auditoria; Negar; Desactivado | 1.1.0 |
| Azure Data Box trabalhos devem habilitar criptografia dupla para dados em repouso no dispositivo | Habilite uma segunda camada de criptografia baseada em software para dados em repouso no dispositivo. O dispositivo já está protegido por meio da criptografia De Criptografia Avançada Standard de 256 bits para dados em repouso. Essa opção adiciona uma segunda camada de criptografia de dados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Dispositivos do Edge Hardware Center devem ter suporte de criptografia dupla habilitado | Verifique se os dispositivos ordenados do Azure Centro de Hardware de Borda têm suporte de criptografia dupla habilitado para proteger os dados em repouso no dispositivo. Essa opção adiciona uma segunda camada de criptografia de dados. | Auditoria; Negar; Desactivado | 2.0.0 |
| Azure HDInsight clusters devem usar criptografia no host para criptografar dados inativos | Habilitar a criptografia no host ajuda a proteger e proteger seus dados para atender aos compromissos de conformidade e segurança organizacional. Quando você habilita a criptografia no host, os dados armazenados no host da VM são criptografados em repouso e os fluxos criptografados para o serviço Storage. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Monitor clusters de logs devem ser criados com criptografia de infraestrutura habilitada (criptografia dupla) | Para garantir que a criptografia de dados segura esteja habilitada no nível de serviço e no nível da infraestrutura com dois algoritmos de criptografia diferentes e duas chaves diferentes, use um cluster Azure Monitor dedicado. Essa opção é habilitada por padrão quando há suporte na região, consulte Azure Monitor chaves gerenciadas pelo cliente. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| Azure servidor flexível MySQL deve ter Microsoft Entra Somente Autenticação habilitada | Desabilitar métodos de autenticação local e permitir apenas Microsoft Entra Autenticação melhora a segurança, garantindo que Azure servidor flexível MySQL possa ser acessado exclusivamente por identidades Microsoft Entra. | AuditIfNotExists; Desactivado | 1.0.1 |
| Azure NetApp Files volumes SMB devem usar criptografia SMB3 | Não permite a criação de volumes SMB sem criptografia SMB3 para garantir a integridade dos dados e a privacidade de dados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure NetApp Files Volumes do tipo NFSv4.1 devem usar a criptografia de dados Kerberos | Permitir apenas o uso do modo de segurança de privacidade Kerberos (5p) para garantir que os dados sejam criptografados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Stack Edge dispositivos devem usar criptografia dupla | Para proteger os dados em repouso no dispositivo, verifique se eles são criptografados duas vezes, o access aos dados é controlado e, depois que o dispositivo é desativado, os dados são apagados com segurança dos discos de dados. Criptografia dupla é o uso de duas camadas de criptografia: o BitLocker XTS-AES criptografia de 256 bits nos volumes de dados e criptografia interna dos discos rígidos. Saiba mais na documentação de visão geral de segurança do dispositivo stack edge específico. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| A criptografia Disk deve ser habilitada no Azure Data Explorer | Habilitar a criptografia de disco ajuda a proteger e proteger seus dados para atender aos compromissos de conformidade e segurança organizacional. | Auditoria; Negar; Desactivado | 2.0.0 |
| A criptografia Double deve ser habilitada no Azure Data Explorer | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla foi habilitada, os dados na conta storage são criptografados duas vezes, uma vez no nível do serviço e uma vez no nível da infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria; Negar; Desactivado | 2.0.0 |
| os namespaces Event Hub devem ter criptografia dupla habilitada | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla foi habilitada, os dados na conta storage são criptografados duas vezes, uma vez no nível do serviço e uma vez no nível da infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria; Negar; Desactivado | 1.0.0 |
| Infrastructure encryption deve ser habilitada para servidores Banco de Dados do Azure para MySQL | Habilite a criptografia de infraestrutura para Banco de Dados do Azure para MySQL servidores tenham um nível mais alto de garantia de que os dados são seguros. Quando a criptografia de infraestrutura é habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas de Microsoft compatíveis com FIPS 140-2. | Auditoria; Negar; Desactivado | 1.0.0 |
| A criptografia Infrastructure deve ser habilitada para servidores Banco de Dados do Azure para PostgreSQL | Habilite a criptografia de infraestrutura para servidores Banco de Dados do Azure para PostgreSQL tenham um nível mais alto de garantia de que os dados são seguros. Quando a criptografia de infraestrutura está habilitada, os dados em repouso são criptografados duas vezes usando chaves gerenciadas em conformidade com FIPS 140-2 Microsoft | Auditoria; Negar; Desactivado | 1.0.0 |
| as máquinas virtuais Linux devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e Storage não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite Visão geral das opções de criptografia de disco gerenciado para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite Understand Azure Machine Configuration. | AuditIfNotExists; Desactivado | 1.2.1 |
| Managed disks deve ser criptografado duas vezes com chaves gerenciadas por plataforma e gerenciadas pelo cliente | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em Server-side encryption of Azure managed disks. | Auditoria; Negar; Desactivado | 1.0.0 |
| Barramento de Serviço namespaces devem ter criptografia dupla habilitada | A habilitação da criptografia dupla ajuda a proteger seus dados para atender aos compromissos de conformidade e segurança da sua organização. Quando a criptografia dupla foi habilitada, os dados na conta storage são criptografados duas vezes, uma vez no nível do serviço e uma vez no nível da infraestrutura, usando dois algoritmos de criptografia diferentes e duas chaves diferentes. | Auditoria; Negar; Desactivado | 1.0.0 |
| os clusters Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Fabric de serviço fornece três níveis de proteção (None, Sign e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Auditoria; Negar; Desactivado | 1.1.0 |
| Storage contas devem ter criptografia de infraestrutura | Habilite a criptografia de infraestrutura para um nível mais alto de garantia de segurança dos dados. Quando a criptografia de infraestrutura está habilitada, os dados em uma conta de storage são criptografados duas vezes. | Auditoria; Negar; Desactivado | 1.0.0 |
| Temp discos e cache para pools de nós de agente em clusters Serviço de Kubernetes do Azure devem ser criptografados no host | Para aprimorar a segurança de dados, os dados armazenados no host da VM (máquina virtual) de suas VMs de nós Serviço de Kubernetes do Azure devem ser criptografados em repouso. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Auditoria; Negar; Desactivado | 1.0.1 |
| Transparent Data Encryption deve estar habilitado para instâncias gerenciadas do Arc SQL. | Habilite a TDE (transparent Data Encryption) em repouso em um Instância Gerenciada de SQL habilitado para Azure Arc. Saiba mais em Enscriptografar um banco de dados com criptografia de dados transparente manualmente em Instância Gerenciada de SQL habilitado pelo Azure Arc. | Auditoria; Desactivado | 1.0.0 |
| Transparent Data Encryption em bancos de dados SQL devem ser habilitados | Transparent data encryption deve ser habilitado para proteger dados inativos e atender aos requisitos de conformidade | AuditIfNotExists; Desactivado | 2.0.0 |
| Virtual machines e virtual machine scale sets devem ter a criptografia no host habilitada | Use a criptografia no host para obter criptografia de ponta a ponta para sua máquina virtual e dados do conjunto de dimensionamento de máquinas virtuais. A criptografia no host habilita a criptografia em repouso para o disco temporário e caches de disco de dados/do sistema operacional. Discos do sistema operacional temporários e efêmeros são criptografados com chaves gerenciadas pela plataforma quando a criptografia no host está habilitada. Caches de disco de dados/do sistema operacional são criptografados em repouso com chave de criptografia gerenciada pela plataforma ou pelo cliente, dependendo do tipo de criptografia selecionado no disco. Saiba mais em Habilitar criptografia de ponta a ponta usando criptografia no host. | Auditoria; Negar; Desactivado | 1.0.0 |
| Windows máquinas virtuais devem habilitar Azure Disk Encryption ou EncryptionAtHost. | Embora o sistema operacional e os discos de dados de uma máquina virtual sejam criptografados em repouso por padrão usando chaves gerenciadas pela plataforma; discos de recurso (discos temporários), caches de dados e dados que fluem entre recursos de computação e Storage não são criptografados. Use Azure Disk Encryption ou EncryptionAtHost para corrigir. Visite Visão geral das opções de criptografia de disco gerenciado para comparar as ofertas de criptografia. Esta política requer dois pré-requisitos a serem implantados no escopo de atribuição de política. Para obter detalhes, visite Understand Azure Machine Configuration. | AuditIfNotExists; Desactivado | 1.1.1 |
DP-5: usar a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário
Para obter mais informações, consulte Proteção de Dados: DP-5: use a opção de chave gerenciada pelo cliente na criptografia de dados em repouso quando necessário.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure os recursos dos Serviços de IA devem criptografar dados em repouso com uma CMK (chave gerenciada pelo cliente) | O uso de chaves gerenciadas pelo cliente para criptografar dados inativos oferece mais controle sobre o ciclo de vida da chave, incluindo rotação e gerenciamento. Isso é particularmente relevante para organizações com requisitos de conformidade relacionados. Isso não é avaliado por padrão e só deve ser aplicado quando exigido por requisitos de conformidade ou de política restritiva. Se não estiver habilitado, os dados serão criptografados usando chaves gerenciadas pela plataforma. Para implementar isso, atualize o parâmetro "Efeito" na Política de Segurança para o escopo aplicável. | Auditoria; Negar; Desactivado | 2.2.0 |
| Azure API para FHIR deve usar uma chave gerenciada pelo cliente para criptografar dados inativos | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados em Azure API para FHIR quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia sobre a padrão feita com chaves gerenciadas pelo serviço. | auditoria; Auditoria; desactivado; Desactivado | 1.1.0 |
| Automação do Azure contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de suas contas de Automação do Azure. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Encryption de ativos seguros em Automação do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| Lote do Azure conta deve usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos dados da sua conta do Lote. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais na criptografia de dados da conta do Lote. | Auditoria; Negar; Desactivado | 1.0.1 |
| Cache do Azure para Redis Enterprise deve usar chaves gerenciadas pelo cliente para criptografar dados de disco | Use chaves gerenciadas pelo cliente (CMK) para gerenciar a criptografia do restante dos seus dados em disco. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pela plataforma (PMK), mas as chaves gerenciadas pelo cliente geralmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Configure disk encryption in Cache do Azure para Redis. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure grupo de contêineres da Instância de Contêiner deve usar a chave gerenciada pelo cliente para criptografia | Proteja seus contêineres com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar access à chave que criptografa seus dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria; Desactivado; Negar | 1.0.0 |
| Azure Cosmos DB contas devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Cosmos DB. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Configurar chaves de Customer-Managed. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| Azure Data Box trabalhos devem usar uma chave gerenciada pelo cliente para criptografar a senha de desbloqueio do dispositivo | Use uma chave gerenciada pelo cliente para controlar a criptografia da senha de desbloqueio do dispositivo para Azure Data Box. As chaves gerenciadas pelo cliente também ajudam a gerenciar access para o dispositivo desbloquear senha pelo serviço Data Box, a fim de preparar o dispositivo e copiar dados de maneira automatizada. Os dados no próprio dispositivo já estão criptografados em repouso com criptografia De Criptografia Avançada Standard de 256 bits e a senha de desbloqueio do dispositivo é criptografada por padrão com uma chave gerenciada Microsoft. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Data Explorer criptografia em repouso deve usar uma chave gerenciada pelo cliente | Habilitar a criptografia em repouso usando uma chave gerenciada pelo cliente em seu cluster Azure Data Explorer fornece controle adicional sobre a chave que está sendo usada pela criptografia em repouso. Esse recurso geralmente é aplicável aos clientes com requisitos especiais de conformidade e requer uma Key Vault para gerenciar as chaves. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Databricks workspaces devem ser SKU Premium que dá suporte a recursos como link privado, chave gerenciada pelo cliente para criptografia | Permitir apenas o workspace do Databricks com o Sku Premium que sua organização pode implantar para dar suporte a recursos como Link Privado, chave gerenciada pelo cliente para criptografia. Saiba mais em: Configuração privada de back-end doConfigure para Azure Databricks. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure contas de Atualização de Dispositivo devem usar a chave gerenciada pelo cliente para criptografar dados inativos | A criptografia de dados em repouso no Azure Atualização de Dispositivo com chave gerenciada pelo cliente adiciona uma segunda camada de criptografia sobre as chaves gerenciadas por serviço padrão, permite que o cliente controle chaves, políticas de rotação personalizadas e capacidade de gerenciar o acesso aos dados por meio do controle de acesso de chave. Saiba mais em: CriptografiaData para Atualização de Dispositivo para Hub IoT. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure HDInsight clusters devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus clusters Azure HDInsight. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Criptografia dupla para dados em repouso. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure Health Bots devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use as CMK (chaves gerenciadas pelo cliente) para gerenciar a criptografia em repouso dos dados de seus healthbots. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas o CMK geralmente é necessário para atender aos padrões de conformidade regulatória. O CMK permite que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Configure Customer Managed Keys for data encryption in healthcare agent service | Auditoria; Desactivado | 1.0.0 |
| Azure Machine Learning workspaces devem ser criptografados com uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso Azure Machine Learning dados do workspace com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Criar um workspace com Azure Resource Manager modelo. | Auditoria; Negar; Desactivado | 1.1.0 |
| Azure Machine Learning workspaces devem ser criptografados com o uso de uma chave gerenciada pelo cliente | Gerencie a criptografia em repouso Azure Machine Learning dados do workspace com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Criar um workspace com Azure Resource Manager modelo. | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Monitor Os clusters de logs devem ser criptografados com chave gerenciada pelo cliente | Crie Azure Monitor cluster de logs com criptografia de chaves gerenciadas pelo cliente. Por padrão, os dados do log são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender à conformidade regulatória. A chave gerenciada pelo cliente no Azure Monitor oferece mais controle sobre o acesso aos dados, consulte Configurar chaves gerenciadas pelo cliente no Azure Monitor. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| Azure Stream Analytics trabalhos devem usar chaves gerenciadas pelo cliente para criptografar dados | Use chaves gerenciadas pelo cliente quando quiser armazenar com segurança todos os metadados e ativos de dados privados de seus trabalhos do Stream Analytics em sua conta storage. Isso fornece controle total sobre como os dados do Stream Analytics são criptografados. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| Azure Synapse workspaces devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para controlar a criptografia em repouso dos dados armazenados em Azure Synapse workspaces. As chaves gerenciadas pelo cliente fornecem criptografia dupla adicionando uma segunda camada de criptografia sobre a criptografia padrão com chaves gerenciadas pelo serviço. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure data factories devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do Azure Data Factory. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Encrypt Azure Data Factory com chave gerenciada pelo cliente. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure recurso de teste de carga deve usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use cmk (chaves gerenciadas pelo cliente) para gerenciar a criptografia em repouso para o recurso de Teste de Carga do Azure. Por padrão, o encryptio é feito usando chaves gerenciadas pelo serviço, chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Configurar chaves gerenciadas pelo cliente para Teste de Carga do Azure com Azure Key Vault. | Auditoria; Negar; Desactivado | 1.0.0 |
| Serviço de Bot deve ser criptografado com uma chave gerenciada pelo cliente | Azure Serviço de Bot criptografa automaticamente seu recurso para proteger seus dados e atender aos compromissos de segurança e conformidade da organização. Por padrão, chaves de criptografia gerenciadas por Microsoft são usadas. Para obter maior flexibilidade no gerenciamento de chaves ou no controle de access à sua assinatura, selecione chaves gerenciadas pelo cliente, também conhecidas como BYOK (traga sua própria chave). Saiba mais sobre Azure Serviço de Bot criptografia: criptografia Serviço de Bot de IA do Azure para dados em repouso. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| os sistemas operacionais Both e discos de dados em clusters Serviço de Kubernetes do Azure devem ser criptografados por chaves gerenciadas pelo cliente | Criptografar o sistema operacional e os discos de dados usando chaves gerenciadas pelo cliente dá mais controle e flexibilidade no gerenciamento de chaves. Esse é um requisito comum em muitos padrões de conformidade regulatórias e do setor. | Auditoria; Negar; Desactivado | 1.0.1 |
| Container os registros devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso no conteúdo dos seus Registros. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Customer-Managed Keys for Registro de Contêiner do Azure. | Auditoria; Negar; Desactivado | 1.1.2 |
| A criptografia de chave gerenciada doCustomer deve ser usada como parte da Criptografia CMK para instâncias gerenciadas do Arc SQL. | Como parte da criptografia CMK, a criptografia de chave gerenciada pelo cliente deve ser usada. Saiba mais em Enscriptografar um banco de dados com criptografia de dados transparente manualmente em Instância Gerenciada de SQL habilitado pelo Azure Arc. | Auditoria; Desactivado | 1.0.0 |
| DICOM Service deve usar uma chave gerenciada pelo cliente para criptografar dados inativos | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados em Serviços de Dados de Saúde do Azure Serviço DICOM quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia sobre a padrão feita com chaves gerenciadas pelo serviço. | Auditoria; Desactivado | 1.0.0 |
| ElasticSan Volume Group deve usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do VolumeGroup. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pela plataforma, mas os CMKs geralmente são necessários para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você, com controle total e responsabilidade, incluindo rotação e gerenciamento. | Auditoria; Desactivado | 1.0.0 |
| os namespaces Event Hub devem usar uma chave gerenciada pelo cliente para criptografia | Hubs de Eventos do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas por Microsoft (padrão) ou chaves gerenciadas pelo cliente. A escolha de criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar access às chaves que o Hub de Eventos usará para criptografar dados em seu namespace. Observe que o Hub de Eventos dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces em clusters dedicados. | Auditoria; Desactivado | 1.0.0 |
| FHIR Service deve usar uma chave gerenciada pelo cliente para criptografar dados inativos | Use uma chave gerenciada pelo cliente para controlar a criptografia em repouso dos dados armazenados no serviço Serviços de Dados de Saúde do Azure FHIR quando esse for um requisito regulatório ou de conformidade. As chaves gerenciadas pelo cliente também fornecem criptografia dupla adicionando uma segunda camada de criptografia sobre a padrão feita com chaves gerenciadas pelo serviço. | Auditoria; Desactivado | 1.0.0 |
| Fluid Relay deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do servidor de Retransmissão fluida. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas os CMKs geralmente são necessários para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você, com controle total e responsabilidade, incluindo rotação e gerenciamento. Saiba mais em Chaves gerenciadas peloCustomer para criptografia Azure Fluid Relay. | Auditoria; Desactivado | 1.0.0 |
| HPC Cache contas devem usar a chave gerenciada pelo cliente para criptografia | Gerencie a criptografia em repouso Azure HPC Cache com chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. | Auditoria; Desactivado; Negar | 2.0.0 |
| Logic Apps Integration Service Environment deve ser criptografado com chaves gerenciadas pelo cliente | Implante no Ambiente do Serviço de Integração para gerenciar a criptografia em repouso dos dados dos Aplicativos Lógicos usando chaves gerenciadas pelo cliente. Por padrão, os dados do cliente são criptografados com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. | Auditoria; Negar; Desactivado | 1.0.0 |
| Managed disks deve ser criptografado duas vezes com chaves gerenciadas por plataforma e gerenciadas pelo cliente | Os clientes confidenciais de alta segurança que estão preocupados com o risco associado a qualquer determinado algoritmo de criptografia, implementação ou chave sendo comprometido podem optar por uma camada adicional de criptografia usando um algoritmo/modo de criptografia diferente na camada de infraestrutura usando chaves de criptografia gerenciadas pela plataforma. Os conjuntos de criptografia de disco são necessários para usar a criptografia dupla. Saiba mais em Server-side encryption of Azure managed disks. | Auditoria; Negar; Desactivado | 1.0.0 |
| Managed disks deve usar um conjunto específico de conjuntos de criptografia de disco para a criptografia de chave gerenciada pelo cliente | Exigir que um conjunto específico de conjuntos de criptografia de disco seja usado com managed disks fornecer controle sobre as chaves usadas para criptografia em repouso. Você pode selecionar os conjuntos criptografados permitidos, e todos os outros são rejeitados quando anexados a um disco. Saiba mais em Server-side encryption of Azure managed disks. | Auditoria; Negar; Desactivado | 2.0.0 |
| os servidores MySQL devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores MySQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. | AuditIfNotExists; Desactivado | 1.0.4 |
| OS e discos de dados devem ser criptografados com uma chave gerenciada pelo cliente | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso do conteúdo do managed disks. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pela plataforma, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais em Server-side encryption of Azure managed disks. | Auditoria; Negar; Desactivado | 3.0.0 |
| PostgreSQL servidores flexíveis devem usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos servidores flexíveis do PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. | Auditoria; Negar; Desactivado | 1.1.0 |
| PostgreSQL deve usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso de seus servidores PostgreSQL. Por padrão, os dados são criptografados em repouso com chaves gerenciadas pelo serviço, mas as chaves gerenciadas pelo cliente normalmente são necessárias para atender aos padrões de conformidade regulatória. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave Azure Key Vault criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. | AuditIfNotExists; Desactivado | 1.0.4 |
| Queue Storage deve usar a chave gerenciada pelo cliente para criptografia | Proteja sua fila storage com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar access à chave que criptografa seus dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria; Negar; Desactivado | 1.0.0 |
| Instâncias gerenciadas do SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar Transparent Data Encryption (TDE) com sua própria chave fornece maior transparência e controle sobre o Protetor de TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Auditoria; Negar; Desactivado | 2.0.0 |
| os servidores SQL devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Implementar Transparent Data Encryption (TDE) com sua própria chave fornece maior transparência e controle sobre o Protetor de TDE, maior segurança com um serviço externo apoiado por HSM e promoção da separação de tarefas. Essa recomendação se aplica a organizações com um requisito de conformidade relacionado. | Auditoria; Negar; Desactivado | 2.0.1 |
| os namespaces Barramento de Serviço Premium devem usar uma chave gerenciada pelo cliente para criptografia | Barramento de Serviço do Azure dá suporte à opção de criptografar dados em repouso com chaves gerenciadas por Microsoft (padrão) ou chaves gerenciadas pelo cliente. Optar por criptografar dados usando chaves gerenciadas pelo cliente permite atribuir, girar, desabilitar e revogar o acesso às chaves que Barramento de Serviço usarão para criptografar dados em seu namespace. Observe que Barramento de Serviço dá suporte apenas à criptografia com chaves gerenciadas pelo cliente para namespaces premium. | Auditoria; Desactivado | 1.0.0 |
| Storage escopos de criptografia de conta devem usar chaves gerenciadas pelo cliente para criptografar dados inativos | Use chaves gerenciadas pelo cliente para gerenciar a criptografia em repouso dos escopos de criptografia da conta storage. As chaves gerenciadas pelo cliente permitem que os dados sejam criptografados com uma chave do cofre de chaves Azure criada e de propriedade de você. Você tem total controle e responsabilidade pelo ciclo de vida chave, incluindo rotação e gerenciamento. Saiba mais sobre storage escopos de criptografia de conta em escopos Encryption para Blob storage. | Auditoria; Negar; Desactivado | 1.0.0 |
| Storage escopos de criptografia de conta devem usar criptografia dupla para dados em repouso | Habilite a criptografia de infraestrutura para criptografia em repouso dos escopos de criptografia da conta storage para adicionar segurança. A criptografia de infraestrutura garante que seus dados sejam criptografados duas vezes. | Auditoria; Negar; Desactivado | 1.0.0 |
| Storage contas devem usar a chave gerenciada pelo cliente para criptografia | Proteja seu blob e storage conta com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar access à chave que criptografa seus dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria; Desactivado | 1.0.3 |
| Table Storage deve usar a chave gerenciada pelo cliente para criptografia | Proteja sua tabela storage com maior flexibilidade usando chaves gerenciadas pelo cliente. Quando você especifica uma chave gerenciada pelo cliente, essa chave é usada para proteger e controlar access à chave que criptografa seus dados. O uso de chaves gerenciadas pelo cliente fornece funcionalidades adicionais para controlar a rotação da principal chave de criptografia ou para apagar dados criptograficamente. | Auditoria; Negar; Desactivado | 1.0.0 |
| [Preterido]: o Grupo SIM deve usar chaves gerenciadas pelo cliente para criptografar dados em repouso | Essa política foi preterida porque a Microsoft. O provedor de recursos MobileNetwork foi desativado sem substituição. Recomendamos que você remova todas as atribuições dessa política e todas as referências a ela de iniciativas. Saiba mais sobre a substituição da definição de política em aka.ms/policydefdeprecation. | Auditoria; Negar; Desactivado | 1.1.0 preterido |
| [Versão prévia]: Azure Stack sistemas HCI devem ter volumes criptografados | Use o BitLocker para criptografar o sistema operacional e os volumes de dados em sistemas Azure Stack HCI. | Auditoria; Desactivado; AuditIfNotExists | 1.0.0-preview |
DP-6: Use um processo seguro de gerenciamento de chaves
Para obter mais informações, consulte Proteção de Dados: DP-6: use um processo de gerenciamento de chave segura.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management secret named values should be stored in Azure Key Vault | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço API Management. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos em Azure Key Vault. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados do segredo de Azure Key Vault. Azure Key Vault dá suporte ao gerenciamento de acesso granular e a políticas de rotação de segredo. | Auditoria; Desactivado; Negar | 1.0.2 |
| Azure Cosmos DB contas não devem exceder o número máximo de dias permitidos desde a regeneração de chave da última conta. | Regenere suas chaves no tempo especificado para manter seus dados mais protegidos. | Auditoria; Desactivado | 1.0.0 |
| Key Vault chaves devem ter uma data de validade | As chaves de criptografia devem ter uma data de validade definida e não ser permanentes. As chaves válidas para sempre dão a um invasor potencial mais tempo para comprometer a chave. Uma prática de segurança recomendada é definir as datas de validade em chaves de criptografia. | Auditoria; Negar; Desactivado | 1.0.2 |
| Key Vault segredos devem ter uma data de validade | Os segredos devem ter uma data de validade definida e não ser permanentes. Os segredos são válidos para sempre dão a um invasor potencial mais tempo para comprometê-las. Uma prática de segurança recomendada é definir datas de validade nos segredos. | Auditoria; Negar; Desactivado | 1.0.2 |
| Keys devem ter uma política de rotação garantindo que sua rotação seja agendada dentro do número especificado de dias após a criação. | Gerencie seus requisitos de conformidade organizacional especificando o número máximo de dias necessários para a rotação da chave após a criação. | Auditoria; Desactivado | 1.0.0 |
| Keys deve ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias em que uma chave pode ser válida em seu key vault. | Auditoria; Negar; Desactivado | 1.0.1 |
| Keys não devem estar ativos por mais tempo do que o número especificado de dias | Especifique o número de dias pelos quais uma chave deve estar ativa. As chaves usadas por um longo período de tempo aumentam a probabilidade de um invasor comprometer a chave. Como uma boa prática de segurança, verifique se suas chaves não estão ativas por mais de dois anos. | Auditoria; Negar; Desactivado | 1.0.1 |
| Secrets devem ter mais do que o número especificado de dias antes da expiração | Se um segredo estiver muito próximo da validade, um atraso organizacional para fazer a rotação do segredo poderá resultar em uma interrupção. A rotação dos segredos deve ser feita em um número de dias especificado antes da validade para que haja tempo suficiente para reagir a uma falha. | Auditoria; Negar; Desactivado | 1.0.1 |
| Secrets devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando a quantidade máxima de tempo em dias em que um segredo pode ser válido em seu key vault. | Auditoria; Negar; Desactivado | 1.0.1 |
| Secrets não devem estar ativos por mais tempo do que o número especificado de dias | Se os seus segredos foram criados com uma data de ativação futura definida, verifique se eles não estão ativos há mais tempo do que a duração especificada. | Auditoria; Negar; Desactivado | 1.0.1 |
| Storage chaves de conta não devem expirar | Verifique se o usuário storage chaves de conta não expirarem quando a política de expiração de chave estiver definida, para melhorar a segurança das chaves de conta, tomando medidas quando as chaves expirarem. | Auditoria; Negar; Desactivado | 3.0.0 |
DP-7: usar um processo seguro de gerenciamento de certificados
Para obter mais informações, consulte Proteção de Dados: DP-7: use um processo seguro de gerenciamento de certificados.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Certificates devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando o tempo máximo que um certificado pode ser válido em sua key vault. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 2.2.1 |
| Certificates devem ter o período de validade máximo especificado | Gerencie seus requisitos de conformidade organizacional especificando o tempo máximo que um certificado pode ser válido em sua key vault. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 2.2.1 |
| Certificates não devem expirar dentro do número especificado de dias | Gerenciar os certificados que expirarão após um número especificado de dias para verificar se a organização tem tempo suficiente para mudar de certificado antes da expiração. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 2.1.1 |
DP-8: garantir a segurança do repositório de chaves e certificados
Para obter mais informações, consulte Proteção de Dados: DP-8: garantir a segurança da chave e do repositório de certificados.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Key Vault deve ter o firewall habilitado ou o acesso à rede pública desabilitado | Habilite o firewall key vault para que o key vault não seja acessível por padrão a nenhum IPs públicos ou desabilite access de rede pública para seu key vault para que ele não seja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar access a essas redes. Saiba mais em: Network security for Azure Key Vault and Integrate Key Vault with Link Privado do Azure | Auditoria; Negar; Desactivado | 3.3.0 |
| Azure Key Vaults devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para key vault, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Integrate Key Vault com Link Privado do Azure. | Auditoria; Negar; Desactivado | 1.2.1 |
| os cofres Key devem ter a proteção de exclusão habilitada | A exclusão mal-intencionada de um key vault pode levar à perda permanente de dados. Você pode evitar a perda permanente de dados habilitando a proteção contra limpeza e a exclusão temporária. A proteção de limpeza protege você contra ataques de invasores impondo um período de retenção obrigatório para cofres de chaves de exclusão temporária. Ninguém dentro de sua organização ou Microsoft poderá limpar seus cofres de chaves durante o período de retenção de exclusão reversível. Lembre-se de que os cofres de chaves criados após 1º de setembro de 2019 têm a exclusão temporária habilitada por padrão. | Auditoria; Negar; Desactivado | 2.1.0 |
| os cofres Key devem ter a exclusão reversível habilitada | Excluir um key vault sem exclusão reversível habilitada exclui permanentemente todos os segredos, chaves e certificados armazenados no key vault. A exclusão acidental de um key vault pode levar à perda permanente de dados. A exclusão reversível permite que você recupere um key vault excluído acidentalmente por um período de retenção configurável. | Auditoria; Negar; Desactivado | 3.1.0 |
| os logs Resource no Key Vault devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
DS-6: proteger o ciclo de vida da carga de trabalho
Para obter mais informações, consulte DevOps Security: DS-6: Proteger o ciclo de vida da carga de trabalho.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists; Desactivado | 1.0.1 |
| Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente o ataque surface para suas cargas de trabalho em contêineres. | AuditIfNotExists; Desactivado | 1.0.1 |
ES-1: Usar EDR (Detecção e Resposta de Endpoint)
Para obter mais informações, consulte Endpoint Security: ES-1: Use EDR (Detecção e Resposta de Ponto de Extremidade).
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists; Desactivado | 1.0.3 |
ES-2: Usar software antimalware moderno
Para obter mais informações, consulte Endpoint Security: ES-2: Use software antimalware moderno.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Windows Defender Exploit Guard deve estar habilitado em seus computadores | Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows). | AuditIfNotExists; Desactivado | 2.0.0 |
IM-1: centralizar a identidade e a autenticação, garantindo o isolamento
Para obter mais informações, consulte O Gerenciamento de Identidades: IM-1: centralize a identidade e a autenticação, garantindo o isolamento.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| A administrador de Microsoft Entra deve ser provisionado para servidores PostgreSQL | Audite o provisionamento de um administrador Microsoft Entra para seu servidor PostgreSQL para habilitar a autenticação Microsoft Entra. Microsoft Entra autenticação permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidade de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists; Desactivado | 1.0.1 |
| Um administrador de Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador de Azure Active Directory para seu SQL Server para habilitar Azure autenticação do AD. Azure autenticação do AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços Microsoft | AuditIfNotExists; Desactivado | 1.0.0 |
| App Service aplicativos devem ter métodos de autenticação locais desabilitados para implantações ftp | Desabilitar métodos de autenticação local para implantações ftp melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente Microsoft Entra identidades para autenticação. Saiba mais em: Disabling basic auth on App Service. | AuditIfNotExists; Desactivado | 1.0.3 |
| App Service aplicativos devem ter métodos de autenticação locais desabilitados para implantações de site do SCM | Desabilitar métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativo exijam exclusivamente Microsoft Entra identidades para autenticação. Saiba mais em: Disabling basic auth on App Service. | AuditIfNotExists; Desactivado | 1.0.3 |
| os componentes do Application Insights devem bloquear ingestão não baseada em Azure Active Directory. | A imposição da ingestão de log para exigir Azure Active Directory autenticação impede logs não autenticados de um invasor, o que pode levar a status incorreto, alertas falsos e logs incorretos armazenados no sistema. | Negar; Auditoria; Desactivado | 1.0.0 |
| Azure os recursos dos Serviços de IA devem ter o acesso de chave desabilitado (desabilitar autenticação local) | Recomenda-se que o access de chave (autenticação local) seja desabilitado para segurança. Azure OpenAI Studio, normalmente usado no desenvolvimento/teste, requer acesso à chave e não funcionará se o acesso à chave estiver desabilitado. Depois de desabilitar, Microsoft Entra ID se torna o único método de acesso, que permite manter o princípio de privilégio mínimo e o controle granular. Saiba mais em: Autenticação em Ferramentas de Pesquisa | Auditoria; Negar; Desactivado | 1.1.0 |
| Serviço de Kubernetes do Azure Clusters devem habilitar Microsoft Entra ID integração | A integração de Microsoft Entra ID gerenciada pelo AKS pode gerenciar o acesso aos clusters configurando o RBAC do Kubernetes (controle de acesso baseado em função) do Kubernetes com base na identidade do usuário ou na associação do grupo de diretórios. Saiba mais em: Enable AKS-managed Microsoft Entra integration on an Serviço de Kubernetes do Azure cluster. | Auditoria; Desactivado | 1.0.2 |
| Azure Machine Learning Computes devem ter métodos de autenticação locais desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que Machine Learning Computação exijam Azure Active Directory identidades exclusivamente para autenticação. Saiba mais em: Azure Policy controles de Conformidade Regulatória para Azure Machine Learning. | Auditoria; Negar; Desactivado | 2.1.0 |
| Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra habilitada | Exigir que SQL do Azure servidores lógicos usem a autenticação somente Microsoft Entra. Essa política não impede que os servidores sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Criate Server com autenticação somente Microsoft Entra habilitada. | Auditoria; Negar; Desactivado | 1.0.0 |
| Banco de Dados SQL do Azure deve ter a autenticação somente Microsoft Entra habilitada durante a criação | Exigir que SQL do Azure servidores lógicos sejam criados com autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Criate Server com autenticação somente Microsoft Entra habilitada. | Auditoria; Negar; Desactivado | 1.2.0 |
| Instância Gerenciada de SQL do Azure deve ter a autenticação somente Microsoft Entra habilitada | Exigir Instância Gerenciada de SQL do Azure usar a autenticação somente Microsoft Entra. Essa política não impede que SQL do Azure instâncias gerenciadas sejam criadas com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Criate Server com autenticação somente Microsoft Entra habilitada. | Auditoria; Negar; Desactivado | 1.0.0 |
| SQL do Azure Instâncias Gerenciadas devem ter a autenticação somente Microsoft Entra habilitada durante a criação | Exija que Instância Gerenciada de SQL do Azure sejam criados com a autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Criate Server com autenticação somente Microsoft Entra habilitada. | Auditoria; Negar; Desactivado | 1.2.0 |
| Configure Azure recursos dos Serviços de IA para desabilitar o acesso à chave local (desabilitar a autenticação local) | Recomenda-se que o access de chave (autenticação local) seja desabilitado para segurança. Azure OpenAI Studio, normalmente usado no desenvolvimento/teste, requer acesso à chave e não funcionará se o acesso à chave estiver desabilitado. Depois de desabilitar, Microsoft Entra ID se torna o único método de acesso, que permite manter o princípio de privilégio mínimo e o controle granular. Saiba mais em: Autenticação em Ferramentas de Pesquisa | DeployIfNotExists; Desactivado | 1.0.0 |
| Container registries deve ter a conta de administrador local desabilitada. | Desabilite a conta de administrador do registro para que ela não seja acessível pelo administrador local. Desabilitar métodos de autenticação local como usuário administrador, tokens de acesso com escopo de repositório e pull anônimo melhora a segurança, garantindo que os registros de contêiner exijam exclusivamente Azure Active Directory identidades para autenticação. Saiba mais em: Registro de Contêiner do Azure Opções de Autenticação Explicadas. | Auditoria; Negar; Desactivado | 1.0.1 |
| as contas de banco de dados Cosmos DB devem ter métodos de autenticação locais desabilitados | Desabilitar métodos de autenticação local melhora a segurança, garantindo que as contas de banco de dados do Cosmos DB exijam exclusivamente Azure Active Directory identidades para autenticação. Saiba mais em: Conectar para Azure Cosmos DB para NoSQL usando o controle de acesso baseado em função e Microsoft Entra ID. | Auditoria; Negar; Desactivado | 1.1.0 |
| Service Fabric clusters só devem usar Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio de Azure Active Directory no Service Fabric | Auditoria; Negar; Desactivado | 1.1.0 |
| Requisito de auditoria de Azure Active Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais Azure Active Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança e facilidade de uso superiores em relação à Chave Compartilhada e é recomendado por Microsoft. | Auditoria; Negar; Desactivado | 2.0.0 | |
| Storage contas devem impedir access de chave compartilhada (excluindo contas storage criadas pelo Databricks) | Requisito de auditoria de Azure Active Directory (Azure AD) para autorizar solicitações para sua conta de armazenamento. Por padrão, as solicitações podem ser autorizadas com credenciais Azure Active Directory ou usando a chave de acesso da conta para autorização de Chave Compartilhada. Desses dois tipos de autorização, o Azure AD fornece segurança e facilidade de uso superiores em relação à Chave Compartilhada e é recomendado por Microsoft. | Auditoria; Negar; Desactivado | 1.0.0 |
| os workspaces Synapse devem ter a autenticação somente Microsoft Entra habilitada | Exigir workspaces do Synapse para usar a autenticação somente Microsoft Entra. Essa política não impede que workspaces sejam criados com a autenticação local habilitada. Ela impede que a autenticação local seja habilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Azure Synapse Analytics. | Auditoria; Negar; Desactivado | 1.0.0 |
| Synapse Workspaces devem usar apenas identidades Microsoft Entra para autenticação durante a criação do workspace | Exigir que workspaces do Synapse sejam criados com autenticação somente Microsoft Entra. Essa política não impede que a autenticação local seja reabilitada nos recursos após a criação. Considere usar a iniciativa de "autenticação somente Microsoft Entra" em vez de exigir ambos. Saiba mais em: Azure Synapse Analytics. | Auditoria; Negar; Desactivado | 1.2.0 |
| os gateways VPN devem usar apenas a autenticação Azure Active Directory (Azure AD) para usuários ponto a site | Desabilitar métodos de autenticação local melhora a segurança, garantindo que os Gateways de VPN usem apenas Azure Active Directory identidades para autenticação. Saiba mais sobre Azure autenticação do AD no gateway de VPN Configure P2S para autenticação Microsoft Entra ID | Auditoria; Negar; Desactivado | 1.0.0 |
| [Versão prévia]: Azure servidor flexível postgreSQL deve ter Microsoft Entra Autenticação Somente habilitada | Desabilitar métodos de autenticação local e permitir apenas Microsoft Entra Autenticação melhora a segurança, garantindo que Azure servidor flexível do PostgreSQL possa ser acessado exclusivamente por identidades Microsoft Entra. | Auditoria; Desactivado | 1.0.0-preview |
IM-2: proteger sistemas de identidade e autenticação
Para obter mais informações, consulte O Gerenciamento de Identidades: IM-2: proteger sistemas de identidade e autenticação.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Users devem autenticar com autenticação multifator para criar ou atualizar recursos | Essa definição de política bloqueia as operações de criação e atualização de recursos quando o chamador não é autenticado via MFA. Para obter mais informações, visite Plano para Microsoft Entra MFA (autenticação multifator) obrigatória . | Auditoria; Negar; Desactivado | 1.0.1 |
IM-3: gerenciar identidades de aplicativos de maneira segura e automática
Para obter mais informações, consulte o Gerenciamento de Identidades: IM-3: Gerenciar identidades de aplicativo de forma segura e automática.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| App Service slots de aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists; Desactivado | 1.0.0 |
| App Service aplicativos devem usar identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists; Desactivado | 3.0.0 |
| A conta deAutomação deve ter Identidade Gerenciada | Use identidades gerenciadas como o método recomendado para autenticação com recursos Azure dos runbooks. A identidade gerenciada para autenticação é mais segura e elimina a sobrecarga de gerenciamento associada ao uso da Conta RunAs no código do runbook. | Auditoria; Desactivado | 1.0.0 |
| Azure Data Factory serviços vinculados devem usar a autenticação de identidade gerenciada atribuída pelo sistema quando houver suporte | O uso da identidade gerenciada atribuída pelo sistema ao se comunicar com armazenamentos de dados por meio de serviços vinculados evita o uso de credenciais menos protegidas, como senhas ou cadeias de conexão. | Auditoria; Negar; Desactivado | 2.1.0 |
| Azure Machine Learning workspaces devem usar a identidade gerenciada atribuída pelo usuário | Acesso manange ao workspace do Azure ML e recursos associados, Registro de Contêiner do Azure, KeyVault, Storage e App Insights usando a identidade gerenciada atribuída pelo usuário. Por padrão, a identidade gerenciada atribuída pelo sistema é usada por Azure workspace de ML para acessar os recursos associados. A identidade gerenciada atribuída pelo usuário permite que você crie a identidade como um recurso Azure e mantenha o ciclo de vida dessa identidade. Saiba mais em Conseje a autenticação entre Azure Machine Learning e outros serviços. | Auditoria; Negar; Desactivado | 1.0.0 |
| as contas Cognitive Services devem usar uma identidade gerenciada | A atribuição de uma identidade gerenciada à sua conta dos Serviços Cognitivos ajuda a garantir a autenticação segura. Essa identidade é usada por essa conta de serviço cognitivo para se comunicar com outros serviços de Azure, como Azure Key Vault, de forma segura sem que você precise gerenciar credenciais. | Auditoria; Negar; Desactivado | 1.0.0 |
| Comunicação deve usar uma identidade gerenciada | Atribuir uma identidade gerenciada ao recurso de serviço de comunicação ajuda a garantir a autenticação segura. Essa identidade é usada por esse recurso de serviço de comunicação para se comunicar com outros serviços Azure, como Armazenamento do Azure, de forma segura sem que você precise gerenciar credenciais. | Auditoria; Negar; Desactivado | 1.0.0 |
| os aplicativos Function devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists; Desactivado | 3.1.0 |
| A identidade gerenciada deve ser habilitada para Aplicativos de Contêiner | A imposição de identidade gerenciada garante que os Aplicativos de Contêiner possam se autenticar com segurança em qualquer recurso que dê suporte à autenticação Azure AD | Auditoria; Negar; Desactivado | 1.0.1 |
| Stream Analytics deve usar a identidade gerenciada para autenticar pontos de extremidade | Verifique se os trabalhos do Stream Analytics só se conectam a pontos de extremidade usando a autenticação de identidade gerenciada. | Negar; Desactivado; Auditoria | 1.0.0 |
| Virtual machines' A extensão de Configuração de Convidado deve ser implantada com a identidade gerenciada atribuída pelo sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. Azure máquinas virtuais no escopo dessa política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída pelo sistema. Saiba mais em Understand Azure Machine Configuration | AuditIfNotExists; Desactivado | 1.0.1 |
| [Versão prévia]: uma identidade gerenciada deve ser habilitada em seus computadores | Os recursos gerenciados pelo Gerenciamento Automatizado devem ter uma identidade gerenciada. | Auditoria; Desactivado | 1.0.0-preview |
| [Versão prévia]: as credenciais federadas de identidade gerenciada do Kubernetes de Azure devem ser de fontes confiáveis | Essa política limita a federeação com Azure clusters do Kubernetes para apenas clusters de locatários aprovados, regiões aprovadas e uma lista de exceções específica de clusters adicionais. | Auditoria; Desactivado; Negar | 1.0.0-preview |
| [Versão prévia]: as credenciais federadas de identidade gerenciada de GitHub devem ser de proprietários de repositório confiáveis | Essa política limita a federação com GitHub repositórios apenas para proprietários de repositório aprovados. | Auditoria; Desactivado; Negar | 1.0.1-preview |
| [Versão prévia]: as credenciais federadas de identidade gerenciada devem ser de tipos de emissor permitidos | Essa política limita se as Identidades Gerenciadas podem usar credenciais federadas, quais tipos de emissor comuns são permitidos e fornece uma lista de exceções de emissor permitidas. | Auditoria; Desactivado; Negar | 1.0.0-preview |
IM-4: autenticar servidor e serviços
Para obter mais informações, consulte o Gerenciamento de Identidades: IM-4: Autenticar servidor e serviços.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management chamadas para back-ends de API devem ser autenticadas | As chamadas de API Management para back-ends devem usar alguma forma de autenticação, seja por meio de certificados ou credenciais. Não se aplica aos back-ends do Service Fabric. | Auditoria; Desactivado; Negar | 1.0.1 |
| API Management chamadas para back-ends de API não devem ignorar a impressão digital do certificado ou a validação de nome | Para melhorar a segurança da API, API Management deve validar o certificado do servidor de back-end para todas as chamadas à API. Habilite a validação da impressão digital e do nome do certificado SSL. | Auditoria; Desactivado; Negar | 1.0.2 |
| os pontos de extremidade API no Gerenciamento de API do Azure devem ser autenticados | Os pontos de extremidade de API publicados em Gerenciamento de API do Azure devem impor a autenticação para ajudar a minimizar o risco de segurança. Às vezes, os mecanismos de autenticação são implementados incorretamente ou estão ausentes. Isso permite que os invasores explorem falhas de implementação e access dados. Saiba mais sobre a ameaça da API OWASP para autenticação de usuário interrompida aqui: Recomando para atenuar as 10 principais ameaças de segurança da API OWASP usando API Management | AuditIfNotExists; Desactivado | 1.0.1 |
| Banco de Dados SQL do Azure deve estar executando o TLS versão 1.2 ou mais recente | Definir a versão do TLS como 1.2 ou mais recente melhora a segurança, garantindo que seus Banco de Dados SQL do Azure só possam ser acessados de clientes usando o TLS 1.2 ou mais recente. O uso de versões do TLS inferiores à 1.2 não é recomendado, pois elas têm vulnerabilidades de segurança bem documentadas. | Auditoria; Desactivado; Negar | 2.0.0 |
IM-6: usar controles de autenticação fortes
Para obter mais informações, consulte o Gerenciamento de Identidades: IM-6: use controles de autenticação fortes.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Authentication para computadores Linux deve exigir chaves SSH | Embora o SSH em si forneça uma conexão criptografada, usar senhas com SSH ainda deixa a VM vulnerável a ataques de força bruta. A opção mais segura para autenticar em uma máquina virtual do Linux Azure por SSH é com um par de chaves público-privada, também conhecido como chaves SSH. Saiba mais: etapas Detailed: criar e gerenciar chaves SSH para autenticação em uma VM Linux no Azure. | AuditIfNotExists; Desactivado | 3.2.0 |
IM-8: Restringir a exposição de credenciais e segredos
Para obter mais informações, consulte Gerenciamento de Identidade: IM-8: restringir a exposição de credenciais e segredos.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management secret named values should be stored in Azure Key Vault | Os valores nomeados são uma coleção de pares de nome e valor em cada serviço API Management. Os valores secretos podem ser armazenados como texto criptografado no Gerenciamento de API (segredos personalizados) ou referenciando segredos em Azure Key Vault. Para melhorar a segurança do Gerenciamento de API e segredos, faça referência a valores nomeados do segredo de Azure Key Vault. Azure Key Vault dá suporte ao gerenciamento de acesso granular e a políticas de rotação de segredo. | Auditoria; Desactivado; Negar | 1.0.2 |
| Machines devem ter descobertas secretas resolvidas | Auditorias virtual machines para detectar se elas contêm descobertas secretas das soluções de verificação secreta em seu virtual machines. | AuditIfNotExists; Desactivado | 1.0.2 |
IR-2: preparação - configurar a notificação de incidentes
Para obter mais informações, consulte Resposta a Incidentes: IR-2: Preparação – notificação de incidente de instalação.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Email notificação para alertas de alta gravidade deve ser habilitada | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, habilite notificações por email para alertas de severidade alta na Central de Segurança. | AuditIfNotExists; Desactivado | 1.2.0 |
| Email notificação ao proprietário da assinatura para alertas de alta gravidade deve ser habilitada | Para que os proprietários de assinatura sejam notificados quando houver uma potencial violação de segurança na assinatura deles, defina que notificações para alertas de severidade alta sejam enviadas por email para os proprietários da assinatura na Central de Segurança. | AuditIfNotExists; Desactivado | 2.1.0 |
| Subscriptions devem ter um endereço de email de contato para problemas de segurança | Para que as pessoas relevantes em sua organização sejam notificadas quando houver uma potencial violação de segurança em uma das suas assinaturas, defina um contato de segurança para receber notificações por email da Central de Segurança. | AuditIfNotExists; Desactivado | 1.0.1 |
IR-3: detecção e análise - criar incidentes com base em alertas de alta qualidade
Para obter mais informações, consulte Resposta a incidentes: IR-3: detecção e análise – crie incidentes com base em alertas de alta qualidade.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em Microsoft Defender para Resource Manager – Benefícios e Recursos . Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem . | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 2.0.1 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em Overview de Defender para bancos de dados relacionais Open-Source. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists; Desactivado | 1.0.3 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists; Desactivado | 1.0.3 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para status SQL devem ser protegidos para SQL Servers habilitados para Arc | Microsoft Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectando atividades anormais que podem indicar ameaças aos bancos de dados SQL, descobrindo e classificando dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando Defender está habilitado, várias configurações devem ser validadas no agente, no computador, no workspace e no SQL Server para garantir a proteção ativa. | Auditoria; Desactivado | 1.1.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta storage) para controle sobre a cobertura e os custos. | AuditIfNotExists; Desactivado | 1.0.0 |
| SQL server o provisionamento automático direcionado deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: Igrate para Defender para SQL em computadores usando AMA | AuditIfNotExists; Desactivado | 1.0.0 |
IR-4: Detecção e análise – investigar um incidente
Para obter mais informações, consulte Resposta a Incidentes: IR-4: Detecção e análise – investigar um incidente.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Observador de Rede deve ser habilitado | Observador de Rede é um serviço regional que permite monitorar e diagnosticar condições em um nível de cenário de rede dentro e de Azure. O monitoramento de nível do cenário permite diagnosticar problemas em um modo de exibição de nível de rede de ponta a ponta. É necessário ter um grupo de recursos network watcher a ser criado em todas as regiões em que um virtual network está presente. Um alerta será habilitado se um grupo de recursos network watcher não estiver disponível em uma região específica. | AuditIfNotExists; Desactivado | 3.0.0 |
IR-5: detecção e análise - priorizar incidentes
Para obter mais informações, consulte Resposta a incidentes: IR-5: detecção e análise – priorize incidentes.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em Microsoft Defender para Resource Manager – Benefícios e Recursos . Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem . | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 2.0.1 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em Overview de Defender para bancos de dados relacionais Open-Source. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists; Desactivado | 1.0.3 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists; Desactivado | 1.0.3 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para status SQL devem ser protegidos para SQL Servers habilitados para Arc | Microsoft Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectando atividades anormais que podem indicar ameaças aos bancos de dados SQL, descobrindo e classificando dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando Defender está habilitado, várias configurações devem ser validadas no agente, no computador, no workspace e no SQL Server para garantir a proteção ativa. | Auditoria; Desactivado | 1.1.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta storage) para controle sobre a cobertura e os custos. | AuditIfNotExists; Desactivado | 1.0.0 |
| SQL server o provisionamento automático direcionado deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: Igrate para Defender para SQL em computadores usando AMA | AuditIfNotExists; Desactivado | 1.0.0 |
LT-1: habilitar recursos de detecção de ameaças
Para obter mais informações, consulte Registro em log e detecção de ameaças: LT-1: habilitar recursos de detecção de ameaças.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em Microsoft Defender para Resource Manager – Benefícios e Recursos . Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem . | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 2.0.1 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em Overview de Defender para bancos de dados relacionais Open-Source. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists; Desactivado | 1.0.3 |
| Serviço de Kubernetes do Azure clusters devem ter Defender perfil habilitado | Microsoft Defender para contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster de Serviço de Kubernetes do Azure, um agente é implantado em seu cluster para coletar dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contêineres no Manage MCSB recomendações no Defender para Nuvem | Auditoria; Desactivado | 2.0.1 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para APIs devem ser habilitadas | Microsoft Defender para APIs traz nova descoberta, proteção, detecção e cobertura de resposta para monitorar ataques comuns baseados em API e configurações incorretas de segurança. | AuditIfNotExists; Desactivado | 1.0.3 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para status SQL devem ser protegidos para SQL Servers habilitados para Arc | Microsoft Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectando atividades anormais que podem indicar ameaças aos bancos de dados SQL, descobrindo e classificando dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando Defender está habilitado, várias configurações devem ser validadas no agente, no computador, no workspace e no SQL Server para garantir a proteção ativa. | Auditoria; Desactivado | 1.1.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta storage) para controle sobre a cobertura e os custos. | AuditIfNotExists; Desactivado | 1.0.0 |
| SQL server o provisionamento automático direcionado deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: Igrate para Defender para SQL em computadores usando AMA | AuditIfNotExists; Desactivado | 1.0.0 |
| Windows Defender Exploit Guard deve estar habilitado em seus computadores | Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows). | AuditIfNotExists; Desactivado | 2.0.0 |
| [Versão prévia]: Azure Arc clusters do Kubernetes habilitados devem ter Microsoft Defender para Nuvem extensão instalada | Microsoft Defender para Nuvem extensão para Azure Arc fornece proteção contra ameaças para seus clusters kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o Azure Defender para back-end do Kubernetes na nuvem para análise posterior. Saiba mais na pontuação Secure em Defender para Nuvem. | AuditIfNotExists; Desactivado | 6.0.0-preview |
LT-2: habilitar a detecção de ameaças para gerenciamento de identidade e access
Para obter mais informações, consulte Logging and Threat Detection: LT-2: Enable threat detection for identity and access management.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Defender para o Serviço de Aplicativo deve estar habilitado | Azure Defender para o Serviço de Aplicativo aproveita a escala da nuvem e a visibilidade que Azure tem como provedor de nuvem, para monitorar ataques comuns de aplicativo Web. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para servidores Banco de Dados SQL do Azure devem ser habilitados | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para Key Vault devem ser habilitados | Azure Defender para Key Vault fornece uma camada adicional de proteção e inteligência de segurança detectando tentativas incomuns e potencialmente prejudiciais de acessar ou explorar contas key vault. | AuditIfNotExists; Desactivado | 1.0.3 |
| Azure Defender para Resource Manager devem ser habilitados | Azure Defender para Resource Manager monitora automaticamente as operações de gerenciamento de recursos em sua organização. Azure Defender detecta ameaças e alerta você sobre atividades suspeitas. Saiba mais sobre os recursos de Azure Defender para Resource Manager em Microsoft Defender para Resource Manager – Benefícios e Recursos . Habilitar esse plano de Azure Defender resulta em encargos. Saiba mais sobre os detalhes de preços por região na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem . | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores SQL em computadores deve ser habilitado | Azure Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectar atividades anômalas que possam indicar ameaças aos bancos de dados SQL e descobrir e classificar dados confidenciais. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para SQL deve ser habilitado para servidores SQL do Azure desprotegidos | Auditar servidores SQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 2.0.1 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis MySQL desprotegidos | Auditar servidores flexíveis do MySQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL deve ser habilitado para servidores flexíveis postgreSQL desprotegidos | Auditar os servidores flexíveis do PostgreSQL sem Segurança de Dados Avançada | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para SQL devem ser habilitados para Instâncias Gerenciadas de SQL desprotegidas | Audite cada Instância Gerenciada de SQL sem segurança de dados avançada. | AuditIfNotExists; Desactivado | 1.0.2 |
| Azure Defender para bancos de dados relacionais de software livre devem ser habilitados | Azure Defender para bancos de dados relacionais de software livre detecta atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. Saiba mais sobre os recursos de Azure Defender para bancos de dados relacionais de software livre em Overview de Defender para bancos de dados relacionais Open-Source. Importante: a habilitação deste plano resultará em encargos de proteção de seus bancos de dados relacionais de código aberto. Saiba mais sobre os preços na página de preços da Central de Segurança: Pricing – Microsoft Defender para Nuvem | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Defender para servidores devem ser habilitados | Azure Defender para servidores fornece proteção contra ameaças em tempo real para cargas de trabalho de servidor e gera recomendações de proteção, bem como alertas sobre atividades suspeitas. | AuditIfNotExists; Desactivado | 1.0.3 |
| Serviço de Kubernetes do Azure clusters devem ter Defender perfil habilitado | Microsoft Defender para contêineres fornece recursos de segurança do Kubernetes nativos de nuvem, incluindo proteção de ambiente, proteção de carga de trabalho e proteção em tempo de execução. Quando você habilita o SecurityProfile.AzureDefender em seu cluster de Serviço de Kubernetes do Azure, um agente é implantado em seu cluster para coletar dados de eventos de segurança. Saiba mais sobre Microsoft Defender para contêineres no Manage MCSB recomendações no Defender para Nuvem | Auditoria; Desactivado | 2.0.1 |
| GPSN do Defender Microsoft deve estar habilitado | Defender CSPM (Gerenciamento de Postura de Segurança de Nuvem) fornece funcionalidades de postura aprimoradas e um novo grafo de segurança de nuvem inteligente para ajudar a identificar, priorizar e reduzir o risco. GPSN do Defender está disponível além das funcionalidades de postura de segurança fundamental gratuita ativadas por padrão em Defender para Nuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para contêineres devem ser habilitados | Microsoft Defender para Contêineres fornece proteções de proteção de proteção de tempo de execução, avaliação de vulnerabilidade e proteções de tempo de execução para seus ambientes kubernetes Azure, híbridos e multinuvem. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para SQL deve ser habilitado para workspaces do Synapse desprotegidos | Habilite Defender para o SQL proteger seus workspaces do Synapse. Defender para SQL monitora o SQL do Synapse para detectar atividades anômalas que indicam tentativas incomuns e potencialmente prejudiciais de acessar ou explorar bancos de dados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Microsoft Defender para status SQL devem ser protegidos para SQL Servers habilitados para Arc | Microsoft Defender para SQL fornece funcionalidade para exibir e atenuar possíveis vulnerabilidades de banco de dados, detectando atividades anormais que podem indicar ameaças aos bancos de dados SQL, descobrindo e classificando dados confidenciais. Uma vez habilitado, o status de proteção indica que o recurso é monitorado ativamente. Mesmo quando Defender está habilitado, várias configurações devem ser validadas no agente, no computador, no workspace e no SQL Server para garantir a proteção ativa. | Auditoria; Desactivado | 1.1.0 |
| Microsoft Defender para Armazenamento deve estar habilitado | Microsoft Defender para Armazenamento detecta possíveis ameaças às suas contas de armazenamento. Ele ajuda a evitar os três principais impactos em seus dados e carga de trabalho: uploads de arquivos mal-intencionados, exfiltração de dados confidenciais e dados corrompidos. O novo Defender para o plano de armazenamento inclui verificação de malware e detecção de ameaças de dados confidenciais. Esse plano também fornece uma estrutura de preços previsível (por conta storage) para controle sobre a cobertura e os custos. | AuditIfNotExists; Desactivado | 1.0.0 |
| SQL server o provisionamento automático direcionado deve ser habilitado para servidores SQL no plano de computadores | Para garantir que as VMs do SQL e os SQL Servers habilitados para Arc estejam protegidos, verifique se o Agente de Monitoramento de Azure direcionado ao SQL está configurado para implantar automaticamente. Isso também é necessário se você já configurou o provisionamento automático do agente de monitoramento de Microsoft, pois esse componente está sendo preterido. Saiba mais: Igrate para Defender para SQL em computadores usando AMA | AuditIfNotExists; Desactivado | 1.0.0 |
| Windows Defender Exploit Guard deve estar habilitado em seus computadores | Windows Defender Exploit Guard usa o agente de Configuração de Convidado do Azure Policy. O Exploit Guard tem quatro componentes projetados para bloquear dispositivos contra uma ampla variedade de vetores de ataque e comportamentos de bloqueio comumente usados em ataques de malware, permitindo que as empresas balanceem seus requisitos de risco de segurança e produtividade (apenas Windows). | AuditIfNotExists; Desactivado | 2.0.0 |
| [Versão prévia]: Azure Arc clusters do Kubernetes habilitados devem ter Microsoft Defender para Nuvem extensão instalada | Microsoft Defender para Nuvem extensão para Azure Arc fornece proteção contra ameaças para seus clusters kubernetes habilitados para Arc. A extensão coleta dados de todos os nós no cluster e os envia para o Azure Defender para back-end do Kubernetes na nuvem para análise posterior. Saiba mais na pontuação Secure em Defender para Nuvem. | AuditIfNotExists; Desactivado | 6.0.0-preview |
LT-3: habilitar o registro em log para investigação de segurança
Para obter mais informações, consulte Registro em log e detecção de ameaças: LT-3: habilitar o registro em log para investigação de segurança.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| App Service aplicativos devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists; Desactivado | 2.0.1 |
| Auditing no SQL server deve ser habilitado | A auditoria em seu SQL Server deve ser habilitada para acompanhar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists; Desactivado | 2.0.0 |
| Azure Front Door deve ter logs de recursos habilitados | Habilite os logs de recursos para Azure Front Door (mais WAF) e transmita para um workspace Log Analytics. Obtenha visibilidade detalhada do tráfego da Web de entrada e das ações executadas para mitigar os ataques. | AuditIfNotExists; Desactivado | 1.0.0 |
| os logs Diagnostic em Serviços de IA do Azure recursos devem ser habilitados | Habilitar logs para recursos de Serviços de IA do Azure. Isso permite recriar trilhas de atividade para fins de investigação, quando ocorrer um incidente de segurança ou sua rede for comprometida | AuditIfNotExists; Desactivado | 1.0.0 |
| os logs Resource no Azure Data Lake Store devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource em workspaces Azure Databricks devem ser habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists; Desactivado | 1.0.1 |
| os logs Resource no Serviço de Kubernetes do Azure devem ser habilitados | Os logs de recursos do Serviço de Kubernetes do Azure podem ajudar a recriar trilhas de atividade ao investigar incidentes de segurança. Habilite-o para garantir que os logs existam quando necessário | AuditIfNotExists; Desactivado | 1.0.0 |
| os logs Resource em workspaces Azure Machine Learning devem estar habilitados | Os logs de recursos permitem a recriação de trilhas de atividades para uso em investigações quando ocorre um incidente de segurança ou quando sua rede é comprometida. | AuditIfNotExists; Desactivado | 1.0.1 |
| os logs Resource no Azure Stream Analytics devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource nas contas do Lote devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource no Data Lake Analytics devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource no Hub de Eventos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource no Hub IoT devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 3.1.0 |
| os logs Resource no Key Vault devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource nos Aplicativos Lógicos devem estar habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.1.0 |
| os logs Resource nos serviços de Pesquisa devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
| os logs Resource no Barramento de Serviço devem ser habilitados | Auditar a habilitação de logs de recurso. Permite recriar trilhas de atividades a serem usadas para fins de investigação; quando ocorrer um incidente de segurança ou quando sua rede estiver comprometida | AuditIfNotExists; Desactivado | 5.0.0 |
LT-4: Habilitar o registro em log de rede para investigação de segurança
Para obter mais informações, consulte Registro em log e detecção de ameaças: LT-4: habilitar o registro em log de rede para investigação de segurança.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| os logs Flow devem ser configurados para cada grupo de segurança de rede | Uma auditoria de grupos de segurança de rede para verificar se os logs de fluxo foram configurados. Habilitar logs de fluxo permite registrar informações sobre o tráfego IP que flui por meio do grupo de segurança de rede. Ele pode ser usado para otimizar os fluxos de rede, monitorar a taxa de transferência, verificar a conformidade, detectar invasões e muito mais. | Auditoria; Desactivado | 1.1.0 |
| [Versão prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado no Linux virtual machines | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists; Desactivado | 1.0.2-preview |
| [Versão prévia]: o agente de coleta de dados de tráfego de rede deve ser instalado em Windows máquinas virtuais | A Central de Segurança usa o agente de dependência Microsoft para coletar dados de tráfego de rede de suas máquinas virtuais Azure para habilitar recursos avançados de proteção de rede, como visualização de tráfego no mapa de rede, recomendações de proteção de rede e ameaças de rede específicas. | AuditIfNotExists; Desactivado | 1.0.2-preview |
LT-5: centralizar o gerenciamento e a análise de logs de segurança
Para obter mais informações, consulte Registro em log e detecção de ameaças: LT-5: centralize o gerenciamento e a análise de logs de segurança.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Saved-queries no Azure Monitor deve ser salvo na conta de armazenamento do cliente para criptografia de logs | Vincule a conta de armazenamento ao Log Analytics workspace para proteger consultas salvas com criptografia de conta de armazenamento. As chaves gerenciadas pelo cliente geralmente são necessárias para atender à conformidade regulatória e para obter mais controle sobre o acesso às consultas salvas no Azure Monitor. Para obter mais detalhes sobre o acima, consulte Chave gerenciada porCustomer para consultas salvas em Azure Monitor. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| [Versão prévia]: Log Analytics extensão deve ser instalada em seus computadores linux Azure Arc | Essa política auditará os computadores linux Azure Arc se a extensão Log Analytics não estiver instalada. | AuditIfNotExists; Desactivado | 1.0.1-preview |
| [Versão prévia]: Log Analytics extensão deve ser instalada em seus computadores Windows Azure Arc | Essa política auditará Windows Azure Arc computadores se a extensão Log Analytics não estiver instalada. | AuditIfNotExists; Desactivado | 1.0.1-preview |
LT-6: configurar a retenção de storage de log
Para obter mais informações, consulte Logging and Threat Detection: LT-6: Configure log storage retention.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| servidores SQL com auditoria para storage destino da conta devem ser configurados com retenção de 90 dias ou superior | Para fins de investigação de incidentes, recomendamos definir a retenção de dados para a auditoria do SQL Server para o destino da conta de armazenamento para pelo menos 90 dias. Confirme que você está cumprindo as regras de retenção necessárias para as regiões em que está operando. Às vezes, isso é necessário para que você tenha conformidade com os padrões regulatórios. | AuditIfNotExists; Desactivado | 3.0.0 |
NS-1: estabelecer limites de segmentação de rede
Para obter mais informações, consulte Segurança de Rede: NS-1: estabelecer limites de segmentação de rede.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir access de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists; Desactivado | 3.0.0 |
| A virtual machines voltada para a Rede deve ser protegida com grupos de segurança de rede | Proteja seus virtual machines contra ameaças potenciais restringindo access a eles com NSG (grupos de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em Azure visão geral dos grupos de segurança de rede | AuditIfNotExists; Desactivado | 3.0.0 |
| Não virtual machines voltado para a Internet deve ser protegido com grupos de segurança de rede | Proteja seus virtual machines não voltados para a Internet contra possíveis ameaças restringindo access com NSG (grupos de segurança de rede). Saiba mais sobre como controlar o tráfego com NSGs em Azure visão geral dos grupos de segurança de rede | AuditIfNotExists; Desactivado | 3.0.0 |
| Subnets devem ser associados a um Grupo de Segurança de Rede | Proteja sua sub-rede contra ameaças potenciais restringindo access a ela com um NSG (Grupo de Segurança de Rede). Os NSGs contêm uma lista de regras de ACL (lista de Controle de Acesso) que permitem ou negam o tráfego de rede para sua sub-rede. | AuditIfNotExists; Desactivado | 3.0.0 |
NS-2: Proteger serviços nativos de nuvem com controles de rede
Para obter mais informações, consulte Segurança de Rede: NS-2: Proteger serviços nativos de nuvem com controles de rede.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management serviços devem usar um virtual network | Rede Virtual do Azure implantação fornece segurança, isolamento e permite que você coloque seu serviço de Gerenciamento de API em uma rede roteável que você controla o acesso. Essas redes podem então ser conectadas às suas redes locais usando várias tecnologias VPN, o que permite access aos seus serviços de back-end na rede e/ou no local. O portal do desenvolvedor e o gateway de API podem ser configurados para serem acessíveis na Internet ou somente no virtual network. | Auditoria; Negar; Desactivado | 1.0.2 |
| API Management deve desabilitar access de rede pública para os pontos de extremidade de configuração de serviço | Para melhorar a segurança dos serviços de API Management, restrinja a conectividade aos pontos de extremidade de configuração de serviço, como a API de gerenciamento de access direta, o ponto de extremidade de gerenciamento de configuração do Git ou o ponto de extremidade de configuração de gateways auto-hospedados. | AuditIfNotExists; Desactivado | 1.0.1 |
| App Configuration deve desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: Use pontos de extremidade privados para Configuração de Aplicativos do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| App Configuration deve usar um SKU compatível com private link | Ao usar um SKU com suporte, Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para suas instâncias de app configuration em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Use pontos de extremidade privados para Configuração de Aplicativos do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| App Configuration deve usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para suas instâncias de app configuration em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Use pontos de extremidade privados para Configuração de Aplicativos do Azure. | AuditIfNotExists; Desactivado | 1.0.2 |
| Ambiente do Serviço de Aplicativo aplicativos não devem ser acessíveis pela Internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não estejam acessíveis pela Internet pública, é necessário implantar Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Auditoria; Negar; Desactivado | 3.0.0 |
| App Service slots de aplicativo devem desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o App Service não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um App Service. Saiba mais em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Desactivado; Negar | 1.0.0 |
| App Service aplicativos devem desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o App Service não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um App Service. Saiba mais em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Desactivado; Negar | 1.1.0 |
| App Service aplicativos devem usar um SKU compatível com private link | Com SKUs com suporte, Link Privado do Azure permite que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Negar; Desactivado | 4.3.0 |
| App Service aplicativos devem usar private link | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para App Service, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Usar pontos de extremidade privados para aplicativos. | AuditIfNotExists; Desactivado | 1.0.1 |
| os componentes do Application Insights devem bloquear a ingestão de log e a consulta de redes públicas | Melhore a segurança do Application Insights bloqueando a ingestão de logs e a consulta de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs desse componente. Saiba mais em Use Link Privado do Azure para conectar redes ao Azure Monitor. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| os intervalos de IP Authorized devem ser definidos nos Serviços kubernetes | Restrinja access à API de Gerenciamento de Serviços do Kubernetes concedendo access de API apenas a endereços IP em intervalos específicos. É recomendável limitar access a intervalos de IP autorizados para garantir que somente aplicativos de redes permitidas possam access o cluster. | Auditoria; Desactivado | 2.0.1 |
| as contas Automation devem desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Você pode limitar a exposição dos recursos da conta de Automação criando pontos de extremidade privados. Saiba mais em: Use Link Privado do Azure para conectar redes com segurança ao Automação do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| Pesquisa de IA do Azure serviço deve usar um SKU que dê suporte ao link privado | Com SKUs de Pesquisa de IA do Azure com suporte, Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para seu Search service, os riscos de vazamento de dados são reduzidos. Saiba mais em: Criar um ponto de extremidade privado para uma conexão segura. | Auditoria; Negar; Desactivado | 1.0.1 |
| Pesquisa de IA do Azure serviços devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu serviço de Pesquisa de IA do Azure não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Search service. Saiba mais em: Criar um ponto de extremidade privado para uma conexão segura. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure os recursos dos Serviços de IA devem restringir o acesso à rede | Ao restringir access de rede, você pode garantir que somente redes permitidas possam access o serviço. Isso pode ser feito configurando regras de rede para que somente aplicativos de redes permitidas possam acessar a ferramenta Microsoft Foundry. | Auditoria; Negar; Desactivado | 3.3.0 |
| Azure os recursos dos Serviços de IA devem usar Link Privado do Azure | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado reduz os riscos de vazamento de dados manipulando a conectividade entre o consumidor e os serviços na rede de backbone Azure. Saiba mais sobre links privados em: O que é Link Privado do Azure? | Auditoria; Desactivado | 1.0.0 |
| Azure API para FHIR deve usar o link privado | Azure API para FHIR deve ter pelo menos uma conexão de ponto de extremidade privado aprovada. Os clientes em um virtual network podem access recursos com segurança que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: Configure Link Privado para Serviços de Dados de Saúde do Azure. | Auditoria; Desactivado | 1.0.0 |
| Azure Arc Link Privado Escopos devem ser configurados com um ponto de extremidade privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para escopos de Azure Arc Link Privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Use Link Privado do Azure para conectar servidores a Azure Arc usando um ponto de extremidade privado. | Auditoria; Desactivado | 1.0.0 |
| Azure Arc Link Privado Escopos devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que Azure Arc recursos não possam se conectar por meio da Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de recursos Azure Arc. Saiba mais em: Use Link Privado do Azure para conectar servidores a Azure Arc usando um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| os clusters kubernetes habilitados para Azure Arc devem ser configurados com um escopo Azure Arc Link Privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo Azure Arc Link Privado configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Use Link Privado do Azure para conectar servidores a Azure Arc usando um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| os servidores habilitados para Azure Arc devem ser configurados com um Escopo Azure Arc Link Privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear servidores habilitados para Azure Arc para um Escopo Azure Arc Link Privado configurado com um ponto de extremidade privado, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Use Link Privado do Azure para conectar servidores a Azure Arc usando um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| Atestado do Azure provedores devem desabilitar o acesso à rede pública | Para melhorar a segurança do serviço de Atestado do Azure, verifique se ele não está exposto à Internet pública e só pode ser acessado de um ponto de extremidade privado. Desabilite a propriedade de access de rede pública, conforme descrito em aka.ms/azureattestation. Essa opção desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Cache do Azure para Redis Enterprise deve usar o link privado | Os pontos de extremidade privados permitem que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para suas instâncias do Cache do Azure para Redis Enterprise, os riscos de vazamento de dados são reduzidos. Saiba mais em: O que é Cache do Azure para Redis com Link Privado do Azure?. | AuditIfNotExists; Desactivado | 1.0.0 |
| Cache do Azure para Redis deve desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que o Cache do Azure para Redis não seja exposto na Internet pública. Você pode limitar a exposição do Cache do Azure para Redis criando pontos de extremidade privados. Saiba mais em: O que é Cache do Azure para Redis com Link Privado do Azure?. | Auditoria; Negar; Desactivado | 1.0.0 |
| Cache do Azure para Redis deve usar o link privado | Os pontos de extremidade privados permitem que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. Ao mapear pontos de extremidade privados para suas instâncias de Cache do Azure para Redis, os riscos de vazamento de dados são reduzidos. Saiba mais em: O que é Cache do Azure para Redis com Link Privado do Azure?. | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Cosmos DB contas devem ter regras de firewall | As regras de firewall devem ser definidas em suas contas Azure Cosmos DB para impedir o tráfego de fontes não autorizadas. Contas que têm pelo menos uma regra DE IP definida com o filtro de virtual network habilitado são consideradas compatíveis. Contas que desabilitam access públicos também são consideradas compatíveis. | Auditoria; Negar; Desactivado | 2.1.0 |
| Azure Cosmos DB deve desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que sua conta do CosmosDB não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição da conta do CosmosDB. Saiba mais em: Conseque o acesso à rede pública durante Azure Cosmos DB criação da conta. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Data Explorer cluster deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o cluster Azure Data Explorer, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: pontos de extremidade Private para Azure Data Explorer. | Auditoria; Desactivado | 1.0.0 |
| Azure Data Explorer deve usar um SKU compatível com o link privado | Com SKUs com suporte, Link Privado do Azure permite que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Data Factory deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure Data Factory, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Link Privado do Azure para Azure Data Factory. | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Databricks Clusters devem desabilitar o IP público | Desabilitar o IP público de clusters em Azure Databricks Workspaces melhora a segurança, garantindo que os clusters não sejam expostos na Internet pública. Saiba mais em: Conjunção segura do cluster. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure Databricks Workspaces devem estar em uma rede virtual | Azure Redes Virtuais fornecem segurança e isolamento aprimorados para seus workspaces de Azure Databricks, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Saiba mais em: Deploy Azure Databricks em sua rede virtual Azure (injeção de VNet). | Auditoria; Negar; Desactivado | 1.0.2 |
| Azure Databricks Workspaces devem desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode controlar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: conceitos Link Privado do Azure. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure Databricks Workspaces devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para Azure Databricks workspaces, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Configuração privada de back-end doConfigure para Azure Databricks. | Auditoria; Desactivado | 1.0.2 |
| Azure Databricks workspaces devem ser SKU Premium que dá suporte a recursos como link privado, chave gerenciada pelo cliente para criptografia | Permitir apenas o workspace do Databricks com o Sku Premium que sua organização pode implantar para dar suporte a recursos como Link Privado, chave gerenciada pelo cliente para criptografia. Saiba mais em: Configuração privada de back-end doConfigure para Azure Databricks. | Auditoria; Negar; Desactivado | 1.0.1 |
| Azure Atualização de Dispositivo para contas de Hub IoT deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure Atualização de Dispositivo para contas de Hub IoT, os riscos de vazamento de dados são reduzidos. | AuditIfNotExists; Desactivado | 1.0.0 |
| Grade de Eventos do Azure domínios devem desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Negar; Desactivado | 1.0.0 |
| Grade de Eventos do Azure domínios devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Por meio do mapeamento de pontos de extremidade privados para o seu domínio de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Desactivado | 1.0.2 |
| Grade de Eventos do Azure agente MQTT do namespace deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o namespace da Grade de Eventos em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Desactivado | 1.0.0 |
| Grade de Eventos do Azure agente de tópicos do namespace deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o namespace da Grade de Eventos em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Desactivado | 1.0.0 |
| Grade de Eventos do Azure namespaces devem desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Negar; Desactivado | 1.0.0 |
| Grade de Eventos do Azure tópicos devem desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Negar; Desactivado | 1.0.0 |
| Grade de Eventos do Azure tópicos devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Por meio do mapeamento de pontos de extremidade privados para o seu tópico de Grade de Eventos em vez de todo o serviço, você também estará protegido contra riscos de vazamento de dados. Saiba mais em: Configurar pontos de extremidade privados para tópicos ou domínios. | Auditoria; Desactivado | 1.0.2 |
| Sincronização de Arquivos do Azure deve usar o link privado | A criação de um ponto de extremidade privado para o recurso indicado Storage Serviço de Sincronização permite que você resolva seu recurso do Serviço de Sincronização Storage de dentro do espaço de endereço IP privado da rede da sua organização, em vez de por meio do ponto de extremidade público acessível pela Internet. A criação de um ponto de extremidade privado por si só não desabilita o ponto de extremidade público. | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure Front Door perfis devem usar a camada Premium que dá suporte a regras de WAF gerenciadas e link privado | Azure Front Door Premium dá suporte Azure regras de WAF gerenciadas e link privado para origens de Azure com suporte. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure HDInsight deve usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para Azure HDInsight clusters, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Enable Link Privado em um cluster Azure HDInsight. | AuditIfNotExists; Desactivado | 1.0.0 |
| Serviços de Dados de Saúde do Azure serviço de desabilitação deve desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. | Auditoria; Desactivado | 1.0.0 |
| Serviços de Dados de Saúde do Azure serviço de des identificação deve usar o link privado | Serviços de Dados de Saúde do Azure serviço de des identificação deve ter pelo menos uma conexão de ponto de extremidade privado aprovada. Os clientes em um virtual network podem access recursos com segurança que têm conexões de ponto de extremidade privado por meio de links privados. | Auditoria; Desactivado | 1.0.0 |
| Serviços de Dados de Saúde do Azure workspace deve usar o link privado | O workspace dos Serviços de Dados de Integridade deve ter pelo menos uma conexão de ponto de extremidade privado aprovada. Os clientes em um virtual network podem access recursos com segurança que têm conexões de ponto de extremidade privado por meio de links privados. Para obter mais informações, visite: Configure Link Privado para Serviços de Dados de Saúde do Azure. | Auditoria; Desactivado | 1.0.0 |
| Azure Key Vault deve desabilitar o acesso à rede pública | Desabilite access de rede pública para sua key vault para que ela não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: Integrate Key Vault com Link Privado do Azure. | Auditoria; Negar; Desactivado | 1.1.0 |
| Azure Key Vault deve ter o firewall habilitado ou o acesso à rede pública desabilitado | Habilite o firewall key vault para que o key vault não seja acessível por padrão a nenhum IPs públicos ou desabilite access de rede pública para seu key vault para que ele não seja acessível pela Internet pública. Opcionalmente, você pode configurar intervalos de IP específicos para limitar access a essas redes. Saiba mais em: Network security for Azure Key Vault and Integrate Key Vault with Link Privado do Azure | Auditoria; Negar; Desactivado | 3.3.0 |
| Azure Key Vaults devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para key vault, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Integrate Key Vault com Link Privado do Azure. | Auditoria; Negar; Desactivado | 1.2.1 |
| Azure Machine Learning Computes devem estar em uma rede virtual | Azure Redes Virtuais fornecem segurança e isolamento aprimorados para seus Azure Machine Learning Clusters e Instâncias de Computação, bem como sub-redes, políticas de controle de acesso e outros recursos para restringir ainda mais o acesso. Quando uma computação é configurada com um virtual network, ela não é endereçável publicamente e só pode ser acessada de virtual machines e aplicativos no virtual network. | Auditoria; Desactivado | 1.0.1 |
| Azure Machine Learning Workspaces devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que os workspaces Machine Learning não sejam expostos na Internet pública. Em vez disso, você pode controlar a exposição dos seus espaços de trabalho criando pontos de extremidade privados. Saiba mais em: Configurar um ponto de extremidade privado para um workspace Azure Machine Learning. | Auditoria; Negar; Desactivado | 2.0.1 |
| Azure Machine Learning e o Ai Studio devem usar somente o modo de Vnet gerenciado de saída aprovado | O isolamento de VNet gerenciado simplifica e automatiza sua configuração de isolamento de rede com uma VNet gerenciada de Azure Machine Learning interna no nível do workspace. A VNet gerenciada protege seus recursos de Azure Machine Learning gerenciados, como instâncias de computação, clusters de computação, computação sem servidor e pontos de extremidade online gerenciados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Machine Learning workspaces devem usar link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure Machine Learning workspaces, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Configurar um ponto de extremidade privado para um workspace Azure Machine Learning. | Auditoria; Desactivado | 1.0.0 |
| Espaço Gerenciado do Azure para Grafana workspaces devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que seu workspace Espaço Gerenciado do Azure para Grafana não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de seus workspaces. | Auditoria; Negar; Desactivado | 1.0.0 |
| Espaço Gerenciado do Azure para Grafana workspaces devem usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o Grafana Gerenciado, você pode reduzir os riscos de vazamento de dados. | Auditoria; Desactivado | 1.0.1 |
| Azure Monitor Link Privado Scope deve bloquear o acesso a recursos não private link | Link Privado do Azure permite conectar suas redes virtuais a recursos Azure por meio de um ponto de extremidade privado a um escopo de Azure Monitor Link Privado (AMPLS). Link Privado modos de acesso são definidos em seu AMPLS para controlar se solicitações de ingestão e consulta de suas redes podem alcançar todos os recursos ou apenas Link Privado recursos (para impedir a exfiltração de dados). Saiba mais sobre links privados em: Link Privado do Azure modos de acesso (somente privado vs. open). | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Monitor Link Privado Scope deve usar private link | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para Azure Monitor Escopo de Links Privados, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Use Link Privado do Azure para conectar redes ao Azure Monitor. | AuditIfNotExists; Desactivado | 1.0.0 |
| Azure contas do Purview devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para suas contas Azure do Purview em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Use pontos de extremidade privados no portal de governança do Microsoft Purview clássico. | Auditoria; Desactivado | 1.0.0 |
| SQL do Azure Instâncias Gerenciadas devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública (ponto de extremidade público) em SQL do Azure Instâncias Gerenciadas melhora a segurança, garantindo que elas só possam ser acessadas de dentro de suas redes virtuais ou por meio de pontos de extremidade privados. Para saber mais sobre access de rede pública, visite Configure Public Endpoint. | Auditoria; Negar; Desactivado | 1.0.0 |
| Barramento de Serviço do Azure namespaces devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Barramento de Serviço namespaces, os riscos de vazamento de dados são reduzidos. Saiba mais em: Conseca o acesso a namespaces Barramento de Serviço do Azure por meio de pontos de extremidade privados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Serviço do Azure SignalR deve desabilitar o acesso à rede pública | Para melhorar a segurança de Serviço do Azure SignalR recurso, verifique se ele não está exposto à Internet pública e só pode ser acessado de um ponto de extremidade privado. Desabilite a propriedade de access de rede pública, conforme descrito em Configuração de rede access control. Essa opção desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Auditoria; Negar; Desactivado | 1.2.0 |
| Serviço do Azure SignalR deve usar uma SKU habilitada para Link Privado | Link Privado do Azure permite que você conecte sua rede virtual a serviços Azure sem um endereço IP público na origem ou destino que proteja seus recursos contra riscos de vazamento de dados públicos. A política limita você a Link Privado SKUs habilitadas para Serviço do Azure SignalR. Saiba mais sobre private link em: Use pontos de extremidade privados. | Auditoria; Negar; Desactivado | 1.0.0 |
| Serviço do Azure SignalR deve usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para o recurso Serviço do Azure SignalR em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: Usar pontos de extremidade privados. | Auditoria; Desactivado | 1.0.0 |
| Azure Spring Cloud deve usar injeção de rede | Azure instâncias do Spring Cloud devem usar a injeção de rede virtual para as seguintes finalidades: 1. Isole Azure Spring Cloud da Internet. 2 Habilite Azure Spring Cloud para interagir com sistemas em data centers locais ou Azure serviço em outras redes virtuais. 3. Capacitar os clientes a controlar as comunicações de rede de entrada e saída para Azure Spring Cloud. | Auditoria; Desactivado; Negar | 1.2.0 |
| Azure Synapse workspaces devem desabilitar o acesso à rede pública | Desabilitar a rede pública access melhora a segurança, garantindo que o workspace do Synapse não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição dos workspaces do Synapse. Saiba mais em: Azure Synapse Analytics configurações de conectividade. | Auditoria; Negar; Desactivado | 1.0.0 |
| os workspaces Azure Synapse devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure Synapse workspace, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Conectar ao workspace Azure Synapse usando links privados. | Auditoria; Desactivado | 1.0.1 |
| Área de Trabalho Virtual do Azure os hostpools devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança e mantém seus dados seguros, garantindo que o acesso ao serviço Área de Trabalho Virtual do Azure não seja exposto à Internet pública. Saiba mais em: Conseje Link Privado com Área de Trabalho Virtual do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| Área de Trabalho Virtual do Azure os hostpools devem desabilitar o acesso à rede pública somente em hosts de sessão | Desabilitar o acesso à rede pública para seus hosts de sessão de hostpool Área de Trabalho Virtual do Azure, mas permitir o acesso público para usuários finais melhora a segurança limitando a exposição à Internet pública. Saiba mais em: Conseje Link Privado com Área de Trabalho Virtual do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| Área de Trabalho Virtual do Azure serviço deve usar o link privado | Usar Link Privado do Azure com seus recursos de Área de Trabalho Virtual do Azure pode melhorar a segurança e manter seus dados seguros. Saiba mais sobre links privados em: Conseje Link Privado com Área de Trabalho Virtual do Azure. | Auditoria; Desactivado | 1.0.0 |
| Área de Trabalho Virtual do Azure workspaces devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública para seu recurso de workspace Área de Trabalho Virtual do Azure impede que o feed seja acessível pela Internet pública. Permitir apenas access de rede privada melhora a segurança e mantém seus dados seguros. Saiba mais em: Conseje Link Privado com Área de Trabalho Virtual do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Web PubSub Service deve desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que Azure Web PubSub serviço não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de Azure Web PubSub serviço. Saiba mais em: Azure Web PubSub controle de acesso à rede. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Web PubSub Service deve usar um SKU compatível com o link privado | Com o SKU com suporte, Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Mapeando pontos de extremidade privados para Azure Web PubSub serviço, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Azure Web PubSub ponto de extremidade privado de serviço. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Web PubSub Service deve usar o link privado | Link Privado do Azure permite conectar suas redes virtuais a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Mapeando pontos de extremidade privados para seu serviço de Azure Web PubSub, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: Azure Web PubSub ponto de extremidade privado de serviço. | Auditoria; Desactivado | 1.0.0 |
| Serviço de Bot deve ter o acesso à rede pública desabilitado | Os bots devem ser definidos como modo "somente isolado". Essa configuração configura Serviço de Bot canais que exigem que o tráfego pela Internet pública seja desabilitado. | Auditoria; Negar; Desactivado | 1.0.0 |
| os recursos BotService devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o recurso botService, os riscos de vazamento de dados são reduzidos. | Auditoria; Desactivado | 1.0.0 |
| Container Apps deve desabilitar a rede pública access | Desabilite access de rede pública para melhorar a segurança expondo o ambiente de Aplicativos de Contêiner por meio de uma load balancer interna. Isso remove a necessidade de um endereço IP público e impede que os access da Internet para todos os Aplicativos de Contêiner dentro do ambiente. | Auditoria; Negar; Desactivado | 1.1.0 |
| Container os registros devem ter SKUs compatíveis com Links Privados | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, os riscos de vazamento de dados são reduzidos. Saiba mais em: Set Up Private Endpoint with Link Privado for ACR. | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure registros de contêiner, por padrão, aceite conexões pela Internet de hosts em qualquer rede. Para proteger seus registros contra possíveis ameaças, permita access somente de pontos de extremidade privados específicos, endereços IP públicos ou intervalos de endereços. Se o Registro não tiver regras de rede configuradas, ele será exibido nos recursos não íntegros. Saiba mais sobre as regras de rede do Registro de Contêiner aqui: Set Up Private Endpoint with Link Privado for ACR, Configure Public Registry Access in Azure and Restrict Access to Registro de Contêiner do Azure Using Service Endpoints. | Auditoria; Negar; Desactivado | 2.0.0 | |
| Container registries deve usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para seus registros de contêiner em vez de todo o serviço, você também será protegido contra riscos de vazamento de dados. Saiba mais em: Set Up Private Endpoint with Link Privado for ACR. | Auditoria; Desactivado | 1.0.1 |
| as contas CosmosDB devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Quando os pontos de extremidade privados são mapeados para a conta do CosmosDB, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Configure Link Privado do Azure para uma conta Azure Cosmos DB. | Auditoria; Desactivado | 1.0.0 |
| Disk access recursos devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Com o mapeamento dos pontos de extremidade privados para diskAccesses, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: A importação/exportação doRestrict access para managed disks. | AuditIfNotExists; Desactivado | 1.0.0 |
| ElasticSan deve desabilitar a rede pública access | Desabilite access de rede pública para seu ElasticSan para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. | Auditoria; Negar; Desactivado | 1.0.0 |
| os namespaces do Hub Event devem desabilitar a rede pública access | Azure Hub de Eventos deve ter o acesso à rede pública desabilitado. Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: Conseje acessar namespaces Hubs de Eventos do Azure por meio de pontos de extremidade privados | Auditoria; Negar; Desactivado | 1.0.0 |
| os namespaces do Hub Event devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Quando os pontos de extremidade privados são mapeados para os namespaces do Hub de Eventos, os riscos de vazamento de dados são reduzidos. Saiba mais em: Conseca o acesso a namespaces Hubs de Eventos do Azure por meio de pontos de extremidade privados. | AuditIfNotExists; Desactivado | 1.0.0 |
| os slots de aplicativo Function devem desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Desactivado; Negar | 1.1.0 |
| os aplicativos Function devem desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: Usar pontos de extremidade privados para aplicativos. | Auditoria; Desactivado; Negar | 1.1.0 |
| IoT Central deve usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma de link privado lida com a conectividade entre o consumidor e os serviços na rede de backbone Azure. Ao mapear pontos de extremidade privados para seu aplicativo IoT Central em vez de todo o serviço, você reduzirá os riscos de vazamento de dados. Saiba mais sobre links privados em: Segurança de rede usando pontos de extremidade privados no IoT Central. | Auditoria; Negar; Desactivado | 1.0.0 |
| Hub IoT instâncias do serviço de provisionamento de dispositivos devem desabilitar o acesso à rede pública | Desabilitar o acesso à rede pública melhora a segurança, garantindo que Hub IoT instância do serviço de provisionamento de dispositivos não seja exposta na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição das instâncias de provisionamento de dispositivos Hub IoT. Saiba mais em: Virtual network conexões para DPS. | Auditoria; Negar; Desactivado | 1.0.0 |
| Hub IoT instâncias do serviço de provisionamento de dispositivos devem usar o link privado | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para o serviço de provisionamento de dispositivos Hub IoT, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Virtual network conexões para DPS. | Auditoria; Desactivado | 1.0.0 |
| Log Analytics workspaces devem bloquear a ingestão de log e a consulta de redes públicas | Melhore a segurança do workspace bloqueando a ingestão de logs e a consulta de redes públicas. Somente redes conectadas de link privado poderão ingerir e consultar logs nesse workspace. Saiba mais em Use Link Privado do Azure para conectar redes ao Azure Monitor. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 1.1.0 |
| Managed disks deve desabilitar a rede pública access | Desabilitar a rede pública access melhora a segurança, garantindo que um disco gerenciado não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de managed disks. Saiba mais em: Restrict import/export access para managed disks. | Auditoria; Negar; Desactivado | 2.1.0 |
| as conexões de ponto de extremidade Private no Banco de Dados SQL do Azure devem ser habilitadas | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados SQL do Azure. | Auditoria; Desactivado | 1.1.0 |
| O ponto de extremidadePrivate deve ser habilitado para servidores MySQL | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados do Azure para MySQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive em Azure. | AuditIfNotExists; Desactivado | 1.0.2 |
| O ponto de extremidadePrivate deve ser habilitado para servidores PostgreSQL | As conexões de ponto de extremidade privado impõem a comunicação segura habilitando a conectividade privada para Banco de Dados do Azure para PostgreSQL. Configure uma conexão de ponto de extremidade privado para habilitar o acesso ao tráfego proveniente apenas de redes conhecidas e impedir o acesso de todos os outros endereços IP, inclusive em Azure. | AuditIfNotExists; Desactivado | 1.0.2 |
| O acesso à rede pública para Azure atualização de dispositivo para contas de Hub IoT deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que sua atualização de dispositivo Azure para contas Hub IoT só possa ser acessada de um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| O acesso à rede Public no Azure Data Explorer deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que Azure Data Explorer só possam ser acessados de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondem a regras de firewall baseadas em IP ou virtual network. | Auditoria; Negar; Desactivado | 1.0.0 |
| A rede pública no Azure Data Factory deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que sua Azure Data Factory só possa ser acessada de um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| O acesso à rede pública no Hub IoT do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seu Hub IoT do Azure só possa ser acessado de um ponto de extremidade privado. | Auditoria; Negar; Desactivado | 1.0.0 |
| O acesso à rede Public no Banco de Dados SQL do Azure deve ser desabilitado | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seu Banco de Dados SQL do Azure só possa ser acessado de um ponto de extremidade privado. Essa configuração nega todos os logons que correspondem a regras de firewall baseadas em IP ou virtual network. | Auditoria; Negar; Desactivado | 1.1.0 |
| O acesso à rede pública deve ser desabilitado para Sincronização de Arquivos do Azure | Desabilitar o ponto de extremidade público permite que você restrinja access ao recurso Storage Serviço de Sincronização a solicitações destinadas a pontos de extremidade privados aprovados na rede da sua organização. Não há nada inerentemente não seguro sobre a permissão de solicitações para o ponto de extremidade público. No entanto, talvez você queira desabilitá-lo para atender a requisitos regulatórios, legais ou de política organizacional. Você pode desabilitar o ponto de extremidade público para um Serviço de Sincronização Storage definindo a incomingTrafficPolicy do recurso como AllowVirtualNetworksOnly. | Auditoria; Negar; Desactivado | 1.0.0 |
| A rede pública access deve ser desabilitada para contas do Lote | Desabilitar access de rede pública em uma conta do Lote melhora a segurança, garantindo que sua conta do Lote só possa ser acessada de um ponto de extremidade privado. Saiba mais sobre como desabilitar o acesso à rede pública em Use pontos de extremidade privados com contas Lote do Azure. | Auditoria; Negar; Desactivado | 1.0.0 |
| A rede pública access deve ser desabilitada para registros de contêiner | Desabilitar a rede pública access melhora a segurança, garantindo que os registros de contêiner não sejam expostos na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de recursos do registro de contêiner. Saiba mais em: Configurar o Acesso ao Registro Público no Azure e Set Up Private Endpoint com Link Privado para ACR. | Auditoria; Negar; Desactivado | 1.0.0 |
| A rede pública access deve ser desabilitada para o IoT Central | Para melhorar a segurança do IoT Central, verifique se ele não está exposto à Internet pública e só pode ser acessado de um ponto de extremidade privado. Desabilite a propriedade de acesso à rede pública, conforme descrito em Criar um ponto de extremidade privado para Azure IoT Central. Essa opção desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Auditoria; Negar; Desactivado | 1.0.0 |
| A access de rede pública deve ser desabilitada para servidores flexíveis do MySQL | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seus Banco de Dados do Azure para MySQL servidores flexíveis só possam ser acessados de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em rede virtual ou IP. | Auditoria; Negar; Desactivado | 2.3.0 |
| A access de rede pública deve ser desabilitada para servidores MySQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e verifique se seu Banco de Dados do Azure para MySQL só pode ser acessado de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam às regras de firewall baseadas em rede virtual ou IP. | Auditoria; Negar; Desactivado | 2.0.0 |
| A rede pública access deve ser desabilitada para servidores flexíveis do PostgreSQL | Desabilitar a propriedade de acesso à rede pública melhora a segurança, garantindo que seus Banco de Dados do Azure para PostgreSQL servidores flexíveis só possam ser acessados de um ponto de extremidade privado. Essa configuração desabilita estritamente o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam às regras de firewall baseadas em IP. | Auditoria; Negar; Desactivado | 3.1.0 |
| A rede pública access deve ser desabilitada para servidores PostgreSQL | Desabilite a propriedade de acesso à rede pública para melhorar a segurança e verifique se sua Banco de Dados do Azure para PostgreSQL só pode ser acessada de um ponto de extremidade privado. Essa configuração desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. | Auditoria; Negar; Desactivado | 2.0.1 |
| Barramento de Serviço Namespaces devem desabilitar o acesso à rede pública | Barramento de Serviço do Azure deve ter o acesso à rede pública desabilitado. Desabilitar a rede pública access melhora a segurança, garantindo que o recurso não seja exposto na Internet pública. Em vez disso, você pode limitar a exposição dos seus recursos criando pontos de extremidade privados. Saiba mais em: O acesso não permitido a namespaces Barramento de Serviço do Azure por meio de pontos de extremidade privados | Auditoria; Negar; Desactivado | 1.1.0 |
| Storage conta pública access deve ser não permitida | O acesso de leitura pública anônimo a contêineres e blobs em Armazenamento do Azure é uma maneira conveniente de compartilhar dados, mas pode apresentar riscos à segurança. Para evitar violações de dados causadas por acesso anônimo indesejado, Microsoft recomenda impedir o acesso público a uma conta de armazenamento, a menos que seu cenário a exija. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 3.1.1 |
| Storage contas devem desabilitar a rede pública access | Para melhorar a segurança das contas de Storage, verifique se elas não são expostas à Internet pública e só podem ser acessadas de um ponto de extremidade privado. Desabilite a propriedade de access de rede pública, conforme descrito em Storage access de rede pública de conta. Essa opção desabilita o acesso de qualquer espaço de endereço público fora do intervalo de IP Azure e nega todos os logons que correspondam a regras de firewall baseadas em IP ou rede virtual. Isso reduzirá riscos de vazamento de dados. | Auditoria; Negar; Desactivado | 1.0.1 |
| As access de rede para contas storage devem ser restritas. Configure regras de rede para que somente aplicativos de redes permitidas possam access a conta storage. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais Azure específicas ou para intervalos de endereços IP da Internet públicos | Auditoria; Negar; Desactivado | 1.1.1 | |
| Storage contas devem restringir access de rede usando regras de virtual network | Proteja suas contas storage contra possíveis ameaças usando regras virtual network como um método preferencial em vez de filtragem baseada em IP. Desabilitar a filtragem baseada em IP impede que os IPs públicos acessem suas contas storage. | Auditoria; Negar; Desactivado | 1.0.1 |
| Storage contas devem restringir access de rede usando regras de virtual network (excluindo contas storage criadas pelo Databricks) | Proteja suas contas storage contra possíveis ameaças usando regras virtual network como um método preferencial em vez de filtragem baseada em IP. Desabilitar a filtragem baseada em IP impede que os IPs públicos acessem suas contas storage. | Auditoria; Negar; Desactivado | 1.0.0 |
| Storage contas devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para sua conta storage, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - O que é Link Privado do Azure? | AuditIfNotExists; Desactivado | 2.0.0 |
| Storage contas devem usar private link (excluindo contas storage criadas pelo Databricks) | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para sua conta storage, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em - O que é Link Privado do Azure? | AuditIfNotExists; Desactivado | 1.0.0 |
| VM Image Builder deve usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para seus recursos de criação do Construtor de Imagens de VM, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Azure opções de rede do Construtor de Imagens de VM – Implantar usando uma VNET existente. | Auditoria; Desactivado; Negar | 1.1.0 |
| [Versão prévia]: Azure Key Vault HSM gerenciado deve desabilitar o acesso à rede pública | Desabilite o acesso à rede pública para seu HSM gerenciado Azure Key Vault para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: Allow serviços confiáveis para access HSM gerenciado. | Auditoria; Negar; Desactivado | 1.0.0-preview |
| [Versão prévia]: Azure Key Vault HSM gerenciado deve usar o link privado | O link privado fornece uma maneira de conectar Azure Key Vault HSM Gerenciado aos recursos de Azure sem enviar tráfego pela Internet pública. Private link fornece proteção detalhada contra exfiltração de dados. Saiba mais em: Integrate Managed HSM com Link Privado do Azure | Auditoria; Desactivado | 1.0.0-preview |
| [Versão prévia]: os cofres dos Serviços de Recuperação Azure devem usar o link privado para backup | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure cofres dos Serviços de Recuperação, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados em: Criar e usar pontos de extremidade privados para Backup do Azure. | Auditoria; Desactivado | 2.0.0-preview |
| [Versão prévia]: os cofres dos Serviços de Recuperação devem usar private link | Link Privado do Azure permite conectar sua rede virtual a serviços Azure sem um endereço IP público na origem ou no destino. A plataforma Link Privado manipula a conectividade entre o consumidor e os serviços pela rede de backbone Azure. Ao mapear pontos de extremidade privados para Azure cofres dos Serviços de Recuperação, os riscos de vazamento de dados são reduzidos. Saiba mais sobre links privados para Azure Site Recovery em: Enable replicação para computadores locais com pontos de extremidade privados e Enable replicação para pontos de extremidade privados em Azure Site Recovery. | Auditoria; Desactivado | 1.0.0-preview |
NS-3: implantar firewall na borda da rede corporativa
Para obter mais informações, consulte Segurança de Rede: NS-3: Implantar firewall na borda da rede corporativa.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| O encaminhamento deIP em sua máquina virtual deve ser desabilitado | A habilitação do encaminhamento de IP na NIC de uma máquina virtual permite que o computador receba o tráfego endereçado a outros destinos. O encaminhamento de IP raramente é necessário (por exemplo, ao usar a VM como uma solução de virtualização de rede) e, portanto, isso deve ser examinado pela equipe de segurança de rede. | AuditIfNotExists; Desactivado | 3.0.0 |
| as portas |
O possível acesso JIT (Just-In-Time) à rede será monitorado por Central de Segurança do Azure como recomendações | AuditIfNotExists; Desactivado | 3.0.0 |
| as portas Management devem ser fechadas em seu virtual machines | As portas abertas de gerenciamento remoto estão expondo sua VM a um alto nível de risco de ataques baseados na Internet. Esses ataques tentam forçar as credenciais brutas para obter access de administrador para o computador. | AuditIfNotExists; Desactivado | 3.0.0 |
| Central de Segurança do Azure identificou que algumas de suas sub-redes não estão protegidas com um firewall de próxima geração. Proteja suas sub-redes contra possíveis ameaças restringindo o acesso a elas com Firewall do Azure ou um firewall de próxima geração com suporte | AuditIfNotExists; Desactivado | 3.0.0-preview |
NS-5: implantar proteção contra DDOS
Para obter mais informações, consulte Segurança de Rede: NS-5: Implantar proteção contra DDOS.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure Proteção contra DDoS deve estar habilitada | A proteção contra DDoS deve ser habilitada para todas as redes virtuais com uma sub-rede que faz parte de uma application gateway com um IP público. | AuditIfNotExists; Desactivado | 3.0.1 |
| as redes Virtual devem ser protegidas por Azure Proteção contra DDoS | Proteja suas redes virtuais contra ataques de protocolo e volume com Azure Proteção contra DDoS. Para obter mais informações, visite Azure Visão geral da proteção contra DDoS. | Modificar; Auditoria; Desactivado | 1.0.1 |
NS-6: implantar web application firewall
Para obter mais informações, consulte Network Security: NS-6: Implantar web application firewall.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Firewall de Aplicativo Web do Azure deve ser habilitado para Azure Front Door pontos de entrada | Implante Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Firewall de Aplicativo Web (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir access a seus aplicativos Web por países/regiões, intervalos de endereços IP e outros parâmetros https por meio de regras personalizadas. | Auditoria; Negar; Desactivado | 1.0.2 |
| Firewall de Aplicativo Web (WAF) deve ser habilitado para o Gateway de Aplicativo | Implante Firewall de Aplicativo Web do Azure (WAF) na frente de aplicativos Web voltados para o público para inspeção adicional do tráfego de entrada. Firewall de Aplicativo Web (WAF) fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeções de SQL, script entre sites, execuções de arquivos locais e remotos. Você também pode restringir access a seus aplicativos Web por países/regiões, intervalos de endereços IP e outros parâmetros https por meio de regras personalizadas. | Auditoria; Negar; Desactivado | 2.0.0 |
NS-8: Detectar e desabilitar serviços e protocolos inseguros
Para obter mais informações, consulte Segurança de Rede: NS-8: Detectar e desabilitar serviços e protocolos inseguros.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| App Service aplicativos devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para App Service aplicativos para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists; Desactivado | 2.2.0 |
| os aplicativos Function devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists; Desactivado | 2.3.0 |
PA-1: separar e limitar usuários altamente privilegiados/administrativos
Para obter mais informações, consulte Privileged Access: PA-1: separar e limitar usuários altamente privilegiados/administrativos.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Um máximo de 3 proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists; Desactivado | 3.0.0 |
| As contas desbloqueadas com permissões de proprietário em Azure recursos devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists; Desactivado | 1.0.0 |
| as contas Guest com permissões de proprietário em Azure recursos devem ser removidas | Contas externas com permissões de proprietário devem ser removidas de sua assinatura para evitar access não monitorados. | AuditIfNotExists; Desactivado | 1.0.0 |
| Não deve ser mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para que o administrador access redundância. | AuditIfNotExists; Desactivado | 3.0.0 |
PA-2: evite access permanente para contas de usuário e permissões
Para obter mais informações, consulte Privileged Access: PA-2: evite access permanente para contas de usuário e permissões.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| as portas |
O possível acesso JIT (Just-In-Time) à rede será monitorado por Central de Segurança do Azure como recomendações | AuditIfNotExists; Desactivado | 3.0.0 |
PA-4: Examinar e reconciliar access de usuário regularmente
Para obter mais informações, consulte Privileged Access: PA-4: Examinar e reconciliar access de usuário regularmente.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| As contas desbloqueadas com permissões de proprietário em Azure recursos devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists; Desactivado | 1.0.0 |
| as contas Blocked com permissões de leitura e gravação em Azure recursos devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists; Desactivado | 1.0.0 |
| as contas Guest com permissões de proprietário em Azure recursos devem ser removidas | Contas externas com permissões de proprietário devem ser removidas de sua assinatura para evitar access não monitorados. | AuditIfNotExists; Desactivado | 1.0.0 |
| contas Guest com permissões de leitura em Azure recursos devem ser removidas | Contas externas com privilégios de leitura devem ser removidas de sua assinatura para evitar access não monitorados. | AuditIfNotExists; Desactivado | 1.0.0 |
| as contas Guest com permissões de gravação em Azure recursos devem ser removidas | Contas externas com privilégios de gravação devem ser removidas de sua assinatura para evitar access não monitorados. | AuditIfNotExists; Desactivado | 1.0.0 |
PA-7: Siga o princípio de administração suficiente (privilégio mínimo)
Para obter mais informações, consulte Privileged Access: PA-7: siga o princípio de administração (privilégio mínimo) suficiente.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management assinaturas não devem ter escopo para todas as APIs | API Management assinaturas devem ter como escopo um produto ou uma API individual em vez de todas as APIs, o que pode resultar em uma exposição excessiva de dados. | Auditoria; Desactivado; Negar | 1.1.0 |
| O uso de funções RBAC personalizadas | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Auditoria; Desactivado | 1.0.1 |
| Azure Key Vault deve usar o modelo de permissão RBAC | Habilite o modelo de permissão RBAC em Key Vaults. Saiba mais em: Igrate da política de acesso do cofre para um modelo de permissão de controle de acesso baseado em função Azure | Auditoria; Negar; Desactivado | 1.0.1 |
| Role-Based Controle de Acesso (RBAC) deve ser usado nos Serviços kubernetes | Para fornecer filtragem granular nas ações que os usuários podem executar, use Role-Based Controle de Acesso (RBAC) para gerenciar permissões em Clusters de Serviço do Kubernetes e configurar políticas de autorização relevantes. | Auditoria; Desactivado | 1.1.0 |
PV-2: auditar e impor configurações seguras
Para obter mais informações, consulte Postura e Gerenciamento de Vulnerabilidades: PV-2: auditar e impor configurações seguras.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| API Management ponto de extremidade de gerenciamento direto não deve ser habilitado | A API REST de gerenciamento direto em Gerenciamento de API do Azure ignora Azure Resource Manager mecanismos de controle de acesso baseado em função, autorização e limitação, aumentando assim a vulnerabilidade do serviço. | Auditoria; Desactivado; Negar | 1.0.2 |
| App Service aplicativos devem ter certificados de cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists; Desactivado | 1.0.0 |
| App Service aplicativos devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas em um aplicativo App Service. A depuração remota deve ser desligada. | AuditIfNotExists; Desactivado | 2.0.0 |
| App Service aplicativos não devem ter o CORS configurado para permitir que todos os recursos access seus aplicativos | O CORS (Compartilhamento de Recursos entre Origens) não deve permitir que todos os domínios access seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists; Desactivado | 2.0.0 |
| Gerenciamento de API do Azure versão da plataforma deve ser stv2 | Gerenciamento de API do Azure versão da plataforma de computação stv1 será desativada a partir de 31 de agosto de 2024 e essas instâncias devem ser migradas para a plataforma de computação stv2 para suporte contínuo. Saiba mais em API Management stv1 platform retirement – Global Azure cloud (agosto de 2024) | Auditoria; Negar; Desactivado | 1.0.0 |
| Azure Arc clusters do Kubernetes habilitados devem ter a extensão Azure Policy instalada | A extensão Azure Policy para Azure Arc fornece imposição e proteções em escala em seus clusters kubernetes habilitados para Arc de maneira centralizada e consistente. Saiba mais em Understand Azure Policy para clusters do Kubernetes. | AuditIfNotExists; Desactivado | 1.1.0 |
| Azure Machine Learning instâncias de computação devem ser recriadas para obter as atualizações de software mais recentes | Verifique se Azure Machine Learning instâncias de computação são executadas no sistema operacional disponível mais recente. A segurança é melhorada e as vulnerabilidades reduzidas pela execução dos últimos patches de segurança. Para obter mais informações, visite o gerenciamento de vulnerabilidades. | n/a | 1.0.3 |
| Azure Policy complemento do AKS (serviço kubernetes) deve ser instalado e habilitado em seus clusters | Azure Policy complemento para AKS (serviço kubernetes) estende o Gatekeeper v3, um webhook do controlador de admissão para OPA (Open Policy Agent), para aplicar imposição e proteções em escala em seus clusters de maneira centralizada e consistente. | Auditoria; Desactivado | 1.0.2 |
| os aplicativos Function devem ter certificados de cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists; Desactivado | 1.1.0 |
| os aplicativos Function devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists; Desactivado | 2.1.0 |
| Não deve ter o CORS configurado para permitir que todos os recursos access seus aplicativos | O CORS (Compartilhamento de Recursos entre Origens) não deve permitir que todos os domínios access seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists; Desactivado | 2.1.0 |
| A CPU de contêineres de clusterKubernetes e os limites de recursos de memória não devem exceder os limites especificados | Impor limites de recursos de memória e CPU de contêiner para evitar ataques de esgotamento de recursos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 9.3.0 |
| os contêineres de cluster Kubernetes não devem compartilhar namespaces de host | Bloqueie os contêineres de pod de compartilhar o namespace da ID do processo de host, o namespace de IPC do host e o namespace de rede do host em um cluster do Kubernetes. Essa recomendação se alinha aos Padrões de Segurança de Pod do Kubernetes para namespaces de host e faz parte do CIS 5.2.1, 5.2.2 e 5.2.3, que se destinam a melhorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | Auditoria; Negar; Desactivado | 6.0.0 |
| os contêineres de cluster Kubernetes devem usar apenas perfis AppArmor permitidos | Os contêineres devem usar somente os perfis do AppArmor permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 6.2.1 |
| os contêineres de cluster Kubernetes só devem usar recursos permitidos | Restrinja os recursos para reduzir a surface de ataque de contêineres em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.8 e do CIS 5.2.9, que se destinam a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 6.2.0 |
| Contêineres de clusterKubernetes devem usar apenas imagens permitidas | Use imagens de Registros confiáveis para reduzir o risco de exposição do cluster do Kubernetes a vulnerabilidades desconhecidas, problemas de segurança e imagens mal-intencionadas. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 9.3.0 |
| os contêineres de cluster Kubernetes devem ser executados com um sistema de arquivos raiz somente leitura | Execute contêineres com um sistema de arquivos raiz somente leitura para protegê-los contra alterações em runtime com binários mal-intencionados sendo adicionados a PATH em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 6.3.0 |
| Volumes hostPath do pod de clusterKubernetes devem usar apenas caminhos de host permitidos | Limite as montagens de volume de pod de HostPath aos caminhos de host permitidos em um cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 6.3.0 |
| Os contêineres e pods de clusterKubernetes só devem ser executados com IDs de usuário e grupo aprovadas | Controle as IDs de usuário, de grupo primário, de grupo complementar e de grupo do sistema de arquivos que os pods e os contêineres podem usar para a execução em um Cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 6.2.0 |
| os pods de cluster Kubernetes devem usar apenas a rede de host e a lista de portas aprovadas | Restrinja o pod access à rede host e às portas de host permitidas em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.4, que se destina a melhorar a segurança de seus ambientes do Kubernetes e se alinha ao PSS (Padrões de Segurança de Pod) para hostPorts. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | Auditoria; Negar; Desactivado | 7.0.0 |
| os serviços de cluster Kubernetes devem escutar somente em portas permitidas | Restrinja os serviços a escutar somente em portas permitidas para proteger access para o cluster do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 8.2.0 |
| ClusterKubernetes não deve permitir contêineres privilegiados | Não permita a criação de contêineres com privilégios no cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.1, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 9.2.0 |
| os clusters Kubernetes devem desabilitar a desmontagem automática de credenciais de API | Desabilite as credenciais da API de montagem automática para evitar que um recurso Pod potencialmente comprometido execute comandos de API em clusters do Kubernetes. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 4.2.0 |
| os clusters Kubernetes não devem permitir o escalonamento de privilégios de contêiner | Não permita que os contêineres sejam executados com escalonamento de privilégios para a raiz em um cluster do Kubernetes. Essa recomendação faz parte do CIS 5.2.5, que se destina a aprimorar a segurança de seus ambientes do Kubernetes. Essa política geralmente está disponível para o AKS (Serviço de Kubernetes) e a versão prévia para Azure Arc Kubernetes habilitado. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | Auditoria; Negar; Desactivado | 8.0.0 |
| os clusters Kubernetes não devem conceder recursos de segurança CAP_SYS_ADMIN | Para reduzir o surface de ataque de seus contêineres, restrinja CAP_SYS_ADMIN recursos do Linux. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 5.1.0 |
| os clusters Kubernetes não devem usar o namespace padrão | Impedir o uso do namespace padrão em clusters kubernetes para proteger contra access não autorizados para tipos de recursos ConfigMap, Pod, Secret, Service e ServiceAccount. Para obter mais informações, consulte Understand Azure Policy para clusters kubernetes. | auditoria; Auditoria; negar; Negar; desactivado; Desactivado | 4.2.0 |
PV-4: auditar e impor configurações seguras para recursos de computação
Para obter mais informações, consulte Postura e Gerenciamento de Vulnerabilidades: PV-4: auditar e impor configurações seguras para recursos de computação.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| A extensão de Configuração doGuest deve ser instalada em seus computadores | Para garantir configurações seguras de configurações no convidado de seu computador, instale a extensão de Configuração de Convidado. As configurações no convidado que a extensão monitora incluem a configuração do sistema operacional, a configuração ou a presença do aplicativo e as configurações do ambiente. Depois de instaladas, as políticas no convidado estarão disponíveis, como "Windows o Exploit Guard deve ser habilitado". Saiba mais em Understand Azure Machine Configuration. | AuditIfNotExists; Desactivado | 1.0.3 |
| os computadores Linux devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite Understand Azure Machine Configuration. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists; Desactivado | 2.3.0 |
| Virtual machines' A extensão de Configuração de Convidado deve ser implantada com a identidade gerenciada atribuída pelo sistema | A extensão de configuração de convidado exige uma identidade gerenciada atribuída ao sistema. Azure máquinas virtuais no escopo dessa política não estarão em conformidade quando tiverem a extensão de Configuração de Convidado instalada, mas não tiverem uma identidade gerenciada atribuída pelo sistema. Saiba mais em Understand Azure Machine Configuration | AuditIfNotExists; Desactivado | 1.0.1 |
| Windows computadores devem atender aos requisitos da linha de base de segurança de computação Azure | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite Understand Azure Machine Configuration. Os computadores não estarão em conformidade se o computador não estiver configurado corretamente para uma das recomendações no Azure linha de base de segurança de computação. | AuditIfNotExists; Desactivado | 2.1.0 |
| [Versão prévia]: Azure Stack servidores HCI devem ter políticas de controle de aplicativo impostas consistentemente | No mínimo, aplique o Microsoft política base do WDAC no modo imposto em todos os servidores HCI Azure Stack. As políticas de WDAC (Controle de Aplicativos) Windows Defender aplicadas devem ser consistentes entre servidores no mesmo cluster. | Auditoria; Desactivado; AuditIfNotExists | 1.0.0-preview |
| [Versão prévia]: Azure Stack servidores HCI devem atender aos requisitos de núcleo protegido | Verifique se todos os servidores HCI Azure Stack atendem aos requisitos de núcleo protegido. Para habilitar os requisitos de servidor de núcleo protegido: 1. Na página Azure Stack clusters HCI, vá para Windows Admin Center e selecione Conectar. 2 Acesse a extensão Segurança e selecione Núcleo Protegido. 3. Selecione qualquer configuração que não esteja habilitada e clique em Habilitar. | Auditoria; Desactivado; AuditIfNotExists | 1.0.0-preview |
| Instale a extensão atestado de convidado em máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e à virtual machines Do Linux Confidencial. | AuditIfNotExists; Desactivado | 6.0.0-preview | |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em conjuntos de dimensionamento de virtual machines linux com suporte | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais linux com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e à virtual machine scale sets Do Linux Confidencial. | AuditIfNotExists; Desactivado | 5.1.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | AuditIfNotExists; Desactivado | 4.0.0-preview |
| [Versão prévia]: a extensão atestado de convidado deve ser instalada em conjuntos de dimensionamento de máquinas virtuais Windows com suporte | Instale a extensão atestado de convidado em conjuntos de dimensionamento de máquinas virtuais com suporte para permitir que Central de Segurança do Azure atestem e monitorem proativamente a integridade da inicialização. Após a instalação, a integridade da inicialização será atestada por meio do atestado remoto. Essa avaliação se aplica ao Início Confiável e aos conjuntos de dimensionamento de máquinas virtuais do Windows Confidencial. | AuditIfNotExists; Desactivado | 3.1.0-preview |
| [Versão prévia]: o Linux virtual machines deve usar apenas componentes de inicialização confiáveis e assinados | Todos os componentes de inicialização do sistema operacional (carregador de inicialização, kernel, drivers do kernel) devem ser assinados por fornecedores confiáveis. Defender para Nuvem identificou componentes de inicialização do sistema operacional não confiáveis em um ou mais de seus computadores Linux. Para proteger seus computadores contra componentes potencialmente mal-intencionados, adicione-os à lista de permissão ou remova os componentes identificados. | AuditIfNotExists; Desactivado | 1.0.0-preview |
| [Versão prévia]: a Inicialização Segura deve ser habilitada em máquinas virtuais Windows com suporte | Habilite a Inicialização Segura em máquinas virtuais de Windows com suporte para atenuar alterações mal-intencionadas e não autorizadas na cadeia de inicialização. Depois que ele for habilitado, somente os carregadores de inicialização, o kernel e os drivers de kernel poderão ser executados. Essa avaliação se aplica a máquinas virtuais de inicialização confiável e de Windows confidenciais. | Auditoria; Desactivado | 4.0.0-preview |
| Habilite o dispositivo TPM virtual em virtual machines com suporte para facilitar a Inicialização Medida e outros recursos de segurança do sistema operacional que exigem um TPM. Depois que ele for habilitado, o vTPM pode ser usado para atestar a integridade da inicialização. Essa avaliação se aplica apenas a virtual machines habilitadas para inicialização confiável. | Auditoria; Desactivado | 2.0.0-preview |
PV-5: executar avaliações de vulnerabilidade
Para obter mais informações, consulte Postura e Gerenciamento de Vulnerabilidades: PV-5: executar avaliações de vulnerabilidade.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| A solução de avaliação de vulnerabilidade deve ser habilitada em seu virtual machines | Auditorias virtual machines para detectar se estão executando uma solução de avaliação de vulnerabilidade com suporte. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. Central de Segurança do Azure tipo de preço padrão inclui verificação de vulnerabilidade para suas máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists; Desactivado | 3.0.0 |
| Machines devem ter descobertas secretas resolvidas | Auditorias virtual machines para detectar se elas contêm descobertas secretas das soluções de verificação secreta em seu virtual machines. | AuditIfNotExists; Desactivado | 1.0.2 |
| A avaliação Vulnerability deve ser habilitada no Instância Gerenciada de SQL | Audite cada Instância Gerenciada de SQL que não tem verificações de avaliação de vulnerabilidade recorrentes habilitadas. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists; Desactivado | 1.0.1 |
| A avaliação Vulnerability deve ser habilitada em seus servidores SQL | Audite SQL do Azure servidores que não têm a avaliação de vulnerabilidade configurada corretamente. A avaliação de vulnerabilidades pode descobrir, acompanhar e ajudar a corrigir possíveis vulnerabilidades do banco de dados. | AuditIfNotExists; Desactivado | 3.0.0 |
PV-6: corrigir vulnerabilidades de forma rápida e automática
Para obter mais informações, consulte Postura e Gerenciamento de Vulnerabilidades: PV-6: corrigir vulnerabilidades de forma rápida e automática.
| Nome | Description | Effect(s) | Versão |
|---|---|---|---|
| Azure imagens de contêiner do Registro devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. A resolução de vulnerabilidades pode melhorar muito sua postura de segurança, garantindo que as imagens sejam seguras para uso antes da implantação. | AuditIfNotExists; Desactivado | 1.0.1 |
| Azure imagens de contêiner em execução devem ter vulnerabilidades resolvidas (alimentadas por Gerenciamento de Vulnerabilidades do Microsoft Defender) | A avaliação de vulnerabilidade das imagens de contêiner examina seu registro em busca de vulnerabilidades comumente conhecidas (CVEs) e fornece um relatório detalhado de vulnerabilidades para cada imagem. Essa recomendação fornece visibilidade para as imagens vulneráveis atualmente em execução nos seus clusters do Kubernetes. Corrigir vulnerabilidades em imagens de contêiner que estão em execução no momento é fundamental para melhorar sua postura de segurança, reduzindo significativamente o ataque surface para suas cargas de trabalho em contêineres. | AuditIfNotExists; Desactivado | 1.0.1 |
| Machines deve ser configurado para verificar periodicamente se há atualizações ausentes do sistema | Para garantir que as avaliações periódicas de atualizações do sistema ausentes sejam disparadas automaticamente a cada 24 horas, a propriedade AssessmentMode deve ser definida como 'AutomaticByPlatform'. Saiba mais sobre a propriedade AssessmentMode para Windows: Windows modo de avaliação de patch, para Linux: Modo de avaliação de patchLinux. | Auditoria; Negar; Desactivado | 3.9.0 |
| os bancos de dados SQL devem ter descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists; Desactivado | 4.1.0 |
| os servidores SQL em computadores devem ter descobertas de vulnerabilidade resolvidas | A avaliação de vulnerabilidades do SQL examina o banco de dados em busca de vulnerabilidades de segurança e expõe os desvios das melhores práticas como configurações incorretas, permissões excessivas e dados confidenciais desprotegidos. Resolver as vulnerabilidades encontradas pode melhorar muito a postura de segurança de seu banco de dados. | AuditIfNotExists; Desactivado | 1.0.0 |
| as atualizações System devem ser instaladas em seus computadores (alimentados pelo Centro de Atualização) | As atualizações de sistema, segurança e críticas estão ausentes em seus computadores. As atualizações de software geralmente incluem patches críticos para brechas de segurança. Essas brechas costumam ser exploradas em ataques de malware, portanto, é vital manter seu software atualizado. Para instalar todos os patches pendentes e proteger seus computadores, siga as etapas de correção. | AuditIfNotExists; Desactivado | 1.0.1 |
Próximas etapas
- Examine o Microsoft benchmark de segurança de nuvem para obter mais informações sobre detalhes do controle.
- Consulte o mapeamento mcsb v2 para controles CIS para uma exibição consolidada de mapeamentos cis controls v8.1
- Atribuir políticas por meio do portal Azure
- Saiba mais sobre Azure Policy