Azure Policy integrierten Definitionen für Microsoft Defender for Cloud

Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen im Zusammenhang mit Microsoft Defender for Cloud. Die folgenden Gruppierungen von Richtliniendefinitionen sind verfügbar:

Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Arbeiten mit Sicherheitsrichtlinien. Weitere Azure Policy integrierten Azure Policy für andere Dienste finden Sie unter Azure Policy integrierte Definitionen.

Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.

Microsoft Defender for Cloud Initiativen

Informationen zu den integrierten Initiativen, die von Defender for Cloud überwacht werden, finden Sie in der folgenden Tabelle:

Name Description Politik Version
[Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents Stellen Sie Microsoft Defender for Endpoint Agent auf anwendbaren Images bereit. 4 1.0.0-preview
[Vorschau]: Microsoft Cloudsicherheits-Benchmark v2 Die Microsoft Initiative zur Cloudsicherheits-Benchmark stellt die Richtlinien dar und steuert die Implementierung von Sicherheitsempfehlungen, die in Microsoft Cloud-Sicherheits-Benchmark definiert sind, siehe https://aka.ms/azsecbm. Dies dient auch als Microsoft Defender for Cloud Standardrichtlinieninitiative. Sie können diese Initiative direkt zuweisen oder ihre Richtlinien und Complianceergebnisse innerhalb Microsoft Defender for Cloud verwalten. 414 1.3.0-Vorschau
Configure Erweiterter Schutz vor Bedrohungen für relationale Open-Source-Datenbanken aktiviert werden Aktivieren Sie Erweiterter Schutz vor Bedrohungen für Ihre nicht einfachen open-source-relationalen Datenbanken, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Siehe https://aka.ms/AzDforOpenSourceDBsDocu. 5 1.2.0
Configure Azure Defender auf SQL Server und SQL Managed Instances aktiviert werden Aktivieren Sie Azure Defender auf Ihren SQL Server- und SQL Managed Instances, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. 3 3.0.0
Configure Microsoft Defender for Cloud Pläne Microsoft Defender for Cloud bietet umfassenden, cloudeigenen Schutz von der Entwicklung bis zur Laufzeit in Multi-Cloud-Umgebungen. Verwenden Sie die Richtlinieninitiative, um Defender for Cloud Pläne und Erweiterungen zu konfigurieren, die für ausgewählte Bereiche aktiviert werden sollen. 12 1.1.0
Configure Microsoft Defender, damit Datenbanken aktiviert werden Konfigurieren Sie Microsoft Defender für Datenbanken, um Ihre Azure SQL Datenbanken, verwaltete Instanzen, relationale Open-Source-Datenbanken und Cosmos DB zu schützen. 4 1.0.0
Configure mehrere Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud Konfigurieren Sie die Integrationseinstellungen für mehrere Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION usw.). Weitere Informationen finden Sie unter https://dotnet.territoriali.olinfo.it/azure/defender-for-cloud/integration-defender-for-endpoint. 3 1.0.0
Configure SQL-VMs und arcfähige SQL-Server zum Installieren Microsoft Defender Erweiterung Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. 3 1.0.0
Configure SQL-VMs und Arc-fähigen SQL-Server zum Installieren von Microsoft Defender für SQL und AMA mit einem LA-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. 9 1.3.0
Configure SQL-VMs und Arc-fähigen SQL-Server zum Installieren von Microsoft Defender für SQL und AMA mit einem benutzerdefinierten LA-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. 8 1.2.0
Microsoft-Benchmark für Cloudsicherheit Die Microsoft Initiative zur Cloudsicherheits-Benchmark stellt die Richtlinien dar und steuert die Implementierung von Sicherheitsempfehlungen, die in Microsoft Cloud-Sicherheits-Benchmark definiert sind, siehe https://aka.ms/azsecbm. Dies dient auch als Microsoft Defender for Cloud Standardrichtlinieninitiative. Sie können diese Initiative direkt zuweisen oder ihre Richtlinien und Complianceergebnisse innerhalb Microsoft Defender for Cloud verwalten. 223 57.56.0

Defender for Cloud Standardinitiative (Microsoft Cloud-Sicherheits-Benchmark)

Informationen zu den integrierten Richtlinien, die von Defender for Cloud überwacht werden, finden Sie in der folgenden Tabelle:

Richtlinienname
(Azure Portal)
Description Effect(s) Version
(GitHub)
[Vorschau]: Der gesamte Internetdatenverkehr sollte über Ihre bereitgestellten Azure Firewall Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt sind. Schützen Sie Ihre Subnetze vor potenziellen Bedrohungen, indem Sie den Zugriff auf sie mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation einschränken. AuditIfNotExists, Deaktiviert 3.0.0-preview
[Vorschau]: Azure Arc aktivierten Kubernetes-Cluster sollten Microsoft Defender for Cloud Erweiterung installiert sein Microsoft Defender for Cloud Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-aktivierten Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an den Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Deaktiviert 6.0.0-preview
[Vorschau]: Azure Flexibler PostgreSQL-Server sollte Microsoft Entra Nur Authentifizierung aktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden und das Zulassen von nur Microsoft Entra Authentifizierung wird die Sicherheit verbessert, indem sichergestellt wird, dass Azure Flexible Server von PostgreSQL ausschließlich über Microsoft Entra Identitäten aufgerufen werden kann. Audit, deaktiviert 1.0.0-preview
[Vorschau]: Azure Stack HCI-Server sollten konsequent Anwendungssteuerungsrichtlinien erzwungen haben Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen Azure Stack HCI-Servern an. Angewendete Windows Defender Anwendungssteuerungsrichtlinien (WDAC) müssen auf servern im selben Cluster konsistent sein. Audit, Deaktiviert, AuditIfNotExists 1.0.0-preview
[Vorschau]: Azure Stack HCI-Server sollten gesicherte Kernanforderungen erfüllen Stellen Sie sicher, dass alle Azure Stack HCI-Server die Anforderungen gesicherter Kerne erfüllen. So aktivieren Sie die Anforderungen für Server mit gesicherten Kernen: 1. Wechseln Sie auf der Seite Azure Stack HCI-Cluster zu Windows Admin Center, und wählen Sie "Verbinden" aus. 2. Wechseln Sie zur Sicherheitserweiterung, und wählen Sie „Gesicherter Kern“ aus. 3. Wählen Sie eine beliebige Einstellung aus, die nicht aktiviert ist, und klicken Sie auf „Aktivieren“. Audit, Deaktiviert, AuditIfNotExists 1.0.0-preview
[Vorschau]: Azure Stack HCI-Systeme sollten verschlüsselte Volumes haben Verwenden Sie BitLocker, um das Betriebssystem und datenvolumes auf Azure Stack HCI-Systemen zu verschlüsseln. Audit, Deaktiviert, AuditIfNotExists 1.0.0-preview
[Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. AuditIfNotExists, Deaktiviert 6.0.0-preview
[Vorschau]: Für unterstützte virtuelle Linux-Computer-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. AuditIfNotExists, Deaktiviert 5.1.0-preview
[Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. AuditIfNotExists, Deaktiviert 4.0.0-preview
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein. Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern skalierungssätze, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Skalierungssätze für vertrauenswürdige Starts und vertraulichen Windows virtuellen Computer. AuditIfNotExists, Deaktiviert 3.1.0-preview
[Vorschau]: Host- und VM-Netzwerke sollten auf Azure Stack HCI-Systemen geschützt sein Schützen Sie Daten auf dem Azure Stack HCI-Hosts-Netzwerk und auf Netzwerkverbindungen virtueller Computer. Audit, Deaktiviert, AuditIfNotExists 1.0.0-preview
[Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender for Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Ein Agent zur Erfassung von Netzwerkverkehrsdaten sollte auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft-Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren virtuellen Azure-Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. AuditIfNotExists, Deaktiviert 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf Windows-VMs installiert sein Security Center verwendet den Microsoft-Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren virtuellen Azure-Computern, um erweiterte Netzwerkschutzfunktionen wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. AuditIfNotExists, Deaktiviert 1.0.2-preview
[Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein Aktivieren Sie den sicheren Start auf unterstützten Windows virtuellen Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. Audit, deaktiviert 4.0.0-preview
[Vorschau]: Für unterstützte VMs sollte vTPM aktiviert werden Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. Audit, deaktiviert 2.0.0-preview
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Deaktiviert 3.0.0
A-Microsoft Entra-Administrator sollte für MySQL-Server bereitgestellt werden Überwachen Sie die Bereitstellung eines Microsoft Entra Administrators für Ihren MySQL-Server, um Microsoft Entra Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzenden und anderen Microsoft-Diensten AuditIfNotExists, Deaktiviert 1.1.1
A-Microsoft Entra Administrator sollte für PostgreSQL-Server bereitgestellt werden Überwachen Sie die Bereitstellung eines Microsoft Entra Administrators für Ihren PostgreSQL-Server, um Microsoft Entra Authentifizierung zu aktivieren. Die Microsoft Entra-Authentifizierung ermöglicht eine vereinfachte Berechtigungsverwaltung und eine zentralisierte Identitätsverwaltung von Datenbankbenutzenden und anderen Microsoft-Diensten AuditIfNotExists, Deaktiviert 1.0.1
Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Deaktiviert 3.0.0
Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrem virtuellen Computer zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann angreifern ermöglichen, Ihre Ressourcen als Ziel zu verwenden. AuditIfNotExists, Deaktiviert 3.0.0
Ein Azure Active Directory-Administrator sollte für SQL-Server bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Deaktiviert 1.0.0
API-Endpunkte in Azure API Management sollten authentifiziert werden API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dadurch können Angreifer Implementierungsfehler ausnutzen und Daten access. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://dotnet.territoriali.olinfo.it/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, Deaktiviert 1.0.1
API-Endpunkte, die nicht verwendet werden, sollten deaktiviert und aus dem Azure API Management Dienst entfernt werden Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies können APIs sein, die vom Azure API Management Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. AuditIfNotExists, Deaktiviert 1.0.1
API Management-APIs sollten nur verschlüsselte Protokolle verwenden Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. Überwachen, Deaktiviert, Verweigern 2.0.2
API Management Aufrufe an API-Back-Ends sollten authentifiziert werden Aufrufe von API Management an Back-Ends sollten eine Form der Authentifizierung verwenden, ob über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric Back-Ends. Überwachen, Deaktiviert, Verweigern 1.0.1
API Management Aufrufe von API-Back-Ends sollten keine Zertifikatfingerabdruck- oder Namensüberprüfung umgehen Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. Überwachen, Deaktiviert, Verweigern 1.0.2
Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein Die DIREKTE Verwaltungs-REST-API in Azure API Management umgangen Azure Resource Manager rollenbasierten Zugriffssteuerungs-, Autorisierungs- und Drosselungsmechanismen, wodurch die Sicherheitsanfälligkeit Ihres Diensts erhöht wird. Überwachen, Deaktiviert, Verweigern 1.0.2
Geheime benannte API Management-Werte sollten in Azure Key Vault gespeichert werden Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in API Management (benutzerdefinierte Geheimnisse) oder durch Verweisen auf Geheimnisse in Azure Key Vault gespeichert werden. Um die Sicherheit von API Management und Geheimnissen zu verbessern, verweisen Sie auf benannte geheime Werte aus dem Azure Key Vault. Azure Key Vault unterstützt Richtlinien für die granulare Zugriffsverwaltung und die Geheimnisrotation. Überwachen, Deaktiviert, Verweigern 1.0.2
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Überprüfen, Verweigern, Deaktiviert 1.0.2
API Management sollte das öffentliche Netzwerk access für die Endpunkte der Dienstkonfiguration deaktivieren Um die Sicherheit von API Management Diensten zu verbessern, beschränken Sie die Konnektivität zu Dienstenkonfigurationsendpunkten, z. B. direkte access-Verwaltungs-API, Git-Konfigurations-Verwaltungsendpunkt oder selbst gehostete Gateways-Konfigurationsendpunkt. AuditIfNotExists, Deaktiviert 1.0.1
API Management-Abonnements sollten nicht für alle APIs gelten API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. Überwachen, Deaktiviert, Verweigern 1.1.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Deaktiviert 1.0.2
App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Deaktiviert 1.0.0
Für App Service-Apps sollte das Remotedebuggen deaktiviert sein Für das Remotedebugging müssen eingehende Ports in einer App Service-App geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Deaktiviert 2.0.0
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Überprüfen der Aktivierung von Ressourcenprotokollen in der App. So können Sie zu Untersuchungszwecken Aktivitätsabläufe rekonstruieren, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Deaktiviert 2.0.1
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. AuditIfNotExists, Deaktiviert 2.0.0
Zugriff auf App Service-Apps nur über HTTPS gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Überwachen, Deaktiviert, Verweigern 4.0.0
App Service-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Deaktiviert 3.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Deaktiviert 3.0.0
App Service-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service Apps durch, um ggf. Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. AuditIfNotExists, Deaktiviert 2.2.0
Verwendung benutzerdefinierter RBAC-Rollen überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, deaktiviert 1.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Deaktiviert 2.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem Azure virtuellen Linux-Computer über SSH ist ein öffentliches schlüsselpaar, auch als SSH-Schlüssel bezeichnet. Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Deaktiviert 3.2.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, deaktiviert 2.0.1
Automation-Kontovariablen sollten verschlüsselt werden Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. Überprüfen, Verweigern, Deaktiviert 1.1.0
Azure KI Services-Ressourcen sollten ruhende Daten mit einem kundenseitig verwalteten Schlüssel (Customer-Managed Key, CMK) verschlüsseln Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. Überprüfen, Verweigern, Deaktiviert 2.2.0
Azure AI Services-Ressourcen sollten den Schlüsselzugriff deaktiviert haben (lokale Authentifizierung deaktivieren) Der Schlüsselzugriff (lokale Authentifizierung) wird empfohlen, für die Sicherheit deaktiviert zu werden. Azure OpenAI Studio, in der Regel in Entwicklung/Tests verwendet, erfordert schlüsselzugriff und funktioniert nicht, wenn der Schlüsselzugriff deaktiviert ist. Nach dem Deaktivieren wird die Microsoft Entra-ID zur einzigen Zugriffsmethode, die die Aufrechterhaltung des Minimalberechtigungsprinzips und der granularen Kontrolle ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth Überprüfen, Verweigern, Deaktiviert 1.1.0
Azure AI Services-Ressourcen sollten den Netzwerkzugriff einschränken Indem Sie den Netzwerkzugriff einschränken, können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Dies kann erreicht werden, indem Netzwerkregeln konfiguriert werden, sodass nur Anwendungen aus zulässigen Netzwerken auf den Azure AI-Dienst zugreifen können. Überprüfen, Verweigern, Deaktiviert 3.3.0
Azure AI Services Ressourcen sollten Azure Private Link Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform reduziert das Risiko von Datenlecks, indem die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet wird. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AzurePrivateLink/Overview. Audit, deaktiviert 1.0.0
Azure API Management Plattformversion sollte stv2 Azure API Management stv1 compute platform version will be retired 31 August 2024, and these instances should be migrated to stv2 compute platform for continued support. Weitere Informationen finden Sie unter https://dotnet.territoriali.olinfo.it/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 Überprüfen, Verweigern, Deaktiviert 1.0.0
Azure Arc aktivierte Kubernetes-Cluster sollten die Azure Policy Erweiterung installiert haben Die Azure Policy Erweiterung für Azure Arc bietet umfangreiche Erzwingungen und Garantien für Ihre Arc-aktivierten Kubernetes-Cluster auf eine zentralisierte und konsistente Weise. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. AuditIfNotExists, Deaktiviert 1.1.0
Azure Backup sollte für virtuelle Computer aktiviert sein Stellen Sie den Schutz Ihrer virtuellen Azure-Computer sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Deaktiviert 3.0.0
Azure Cache für Redis sollte einen privaten Link verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Deaktiviert 1.0.0
Azure Cosmos DB-Konten sollten Firewallregeln aufweisen Firewallregeln sollten für Ihre Azure Cosmos DB-Konten definiert werden, um den Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten mit mindestens einer IP-Regel, die mit aktivierten virtual network Filter definiert ist, gelten als konform. Konten, die öffentliche Zugriffe deaktivieren, gelten als auch konform. Überprüfen, Verweigern, Deaktiviert 2.1.0
Azure Cosmos DB-Konten sollten kundengesteuerte Schlüssel verwenden, um Daten im Ruhezustand zu verschlüsseln Verwenden Sie kundenverwaltete Schlüssel, um die Datenverschlüsselung im Ruhezustand Ihrer Azure Cosmos DB zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 1.1.0
Azure Cosmos DB sollte den Zugriff auf öffentliche Netzwerke deaktivieren Durch deaktivieren des öffentlichen Netzwerks access wird die Sicherheit verbessert, indem sichergestellt wird, dass Ihr CosmosDB-Konto nicht im öffentlichen Internet verfügbar gemacht wird. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Überprüfen, Verweigern, Deaktiviert 1.0.0
Azure Databricks Cluster sollten öffentliche IP-Adressen deaktivieren Durch das Deaktivieren öffentlicher IP-Adressen von Clustern in Azure Databricks Arbeitsbereichen wird die Sicherheit verbessert, indem sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter: https://dotnet.territoriali.olinfo.it/azure/databricks/security/secure-cluster-connectivity. Überprüfen, Verweigern, Deaktiviert 1.0.1
Azure Databricks Arbeitsbereiche sollten sich in einem virtuellen Netzwerk befinden Azure virtuellen Netzwerke bieten eine verbesserte Sicherheit und Isolation für Ihre Azure Databricks Arbeitsbereiche sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. Überprüfen, Verweigern, Deaktiviert 1.0.2
Azure Databricks Arbeitsbereiche sollten den Öffentlichen Netzwerkzugriff deaktivieren Das Deaktivieren des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://dotnet.territoriali.olinfo.it/azure/databricks/administration-guide/cloud-configurations/azure/private-link. Überprüfen, Verweigern, Deaktiviert 1.0.1
Azure Databricks Arbeitsbereiche sollten einen privaten Link verwenden mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte Azure Databricks Arbeitsbereichen zuordnen, können Sie Die Risiken für Datenlecks reduzieren. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. Audit, deaktiviert 1.0.2
Azure DDoS Protection sollte aktiviert sein DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Deaktiviert 3.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für Azure SQL-Datenbank Server sollte aktiviert sein Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. AuditIfNotExists, Deaktiviert 1.0.2
Azure Defender für Key Vault sollte aktiviert sein Azure Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für relationale Open-Source-Datenbanken sollten aktiviert sein Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für Resource Manager sollte aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für Server sollte aktiviert sein Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert sein Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. AuditIfNotExists, Deaktiviert 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Deaktiviert 2.0.1
Azure Defender für SQL sollte für nicht geschützte mySQL-flexible Server aktiviert sein Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für SQL sollte für ungeschützte flexible PostgreSQL-Server aktiviert sein Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für SQL sollte für ungeschützte verwaltete SQL-Instanzen aktiviert sein. Jede SQL Managed Instance wird ohne erweiterte Datensicherheit geprüft. AuditIfNotExists, Deaktiviert 1.0.2
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/privateendpoints. Audit, deaktiviert 1.0.2
Azure Event Grid Themen sollten einen privaten Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter: https://aka.ms/privateendpoints. Audit, deaktiviert 1.0.2
Azure Key Vault sollte die Firewall aktiviert oder den Zugriff auf öffentliche Netzwerke deaktiviert haben Aktivieren Sie die key vault Firewall so, dass der key vault standardmäßig nicht für öffentliche IPs zugänglich ist oder öffentliche Netzwerk-access für Ihre key vault deaktiviert, sodass sie nicht über das öffentliche Internet zugänglich ist. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/general/network-security sowie unter https://aka.ms/akvprivatelink. Überprüfen, Verweigern, Deaktiviert 3.3.0
Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://dotnet.territoriali.olinfo.it/en-us/azure/key-vault/general/rbac-migration Überprüfen, Verweigern, Deaktiviert 1.0.1
Azure Key Vault-Instanzen müssen private Verbindungen verwenden mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte key vault zuordnen, können Sie Die Risiken für Datenlecks reduzieren. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Für den Azure Kubernetes Service-Cluster sollte das Defender-Profil aktiviert sein. Microsoft Defender für Container bietet cloudnative Kubernetes-Sicherheitsfunktionen wie Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie SecurityProfile.AzureDefender in Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent in Ihrem Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. Audit, deaktiviert 2.0.1
Azure Machine Learning Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates abzurufen Stellen Sie sicher, dass Azure Machine Learning Computeinstanzen auf dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert, und Sicherheitsrisiken werden durch die Ausführung mit den neuesten Sicherheitspatches reduziert. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. [Parameter('Effekte')] 1.0.3
Azure Machine Learning Computeressourcen sollten sich in einem virtuellen Netzwerk befinden Azure Virtual Networks bieten ein höheres Maß an Sicherheit und Isolation sowohl für Ihre Azure Machine Learning Compute-Cluster und -Instanzen als auch für Ihre Subnetze. Sie profitieren außerdem von Richtlinien für die Zugriffssteuerung sowie von weiteren Features zur Einschränkung des Zugriffs. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. Audit, deaktiviert 1.0.1
Azure Machine Learning Computes sollten lokale Authentifizierungsmethoden deaktiviert haben Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Machine Learning Computes Azure Active Directory Identitäten ausschließlich für die Authentifizierung erfordert. Weitere Informationen finden Sie unter: https://aka.ms/azure-ml-aad-policy. Überprüfen, Verweigern, Deaktiviert 2.1.0
Azure Machine Learning-Arbeitsbereiche müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden. Verwalten Sie die Verschlüsselung ruhender Daten im Azure Machine Learning-Arbeitsbereich mit vom Kunden verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. Überprüfen, Verweigern, Deaktiviert 1.1.0
Azure Machine Learning Arbeitsbereiche sollten den Öffentlichen Netzwerkzugriff deaktivieren Durch das Deaktivieren des öffentlichen Netzwerkzugriffs wird die Sicherheit verbessert, indem sichergestellt wird, dass die Machine Learning Arbeitsbereiche nicht im öffentlichen Internet verfügbar gemacht werden. Sie können die Belichtung Ihrer Arbeitsbereiche steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://dotnet.territoriali.olinfo.it/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. Überprüfen, Verweigern, Deaktiviert 2.0.1
Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Azure Machine Learning Arbeitsbereichen werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, deaktiviert 1.0.0
Azure MySQL flexible Server sollte Microsoft Entra Nur Authentifizierung aktiviert sein Das Deaktivieren lokaler Authentifizierungsmethoden und das Zulassen von nur Microsoft Entra Authentifizierung verbessert die Sicherheit, indem sichergestellt wird, dass Azure flexiblen MySQL-Server ausschließlich von Microsoft Entra Identitäten aufgerufen werden kann. AuditIfNotExists, Deaktiviert 1.0.1
Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden Azure Policy Add-On für Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen Dienstanbieter-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster zentral und einheitlich anzuwenden. Audit, deaktiviert 1.0.2
Azure-Registrierungs-Containerabbildungen sollten Sicherheitsanfälligkeiten behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. AuditIfNotExists, Deaktiviert 1.0.1
In Azure ausgeführte Containerimages sollten Verwundbarkeiten mithilfe von Microsoft Defender Vulnerability Management behoben haben Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird. AuditIfNotExists, Deaktiviert 1.0.1
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, deaktiviert 1.0.0
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Aktivieren Sie Azure Spring Cloud für die Interaktion mit Systemen in lokalen Rechenzentren oder Azure-Diensten in anderen virtuellen Netzwerken. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Überwachen, Deaktiviert, Verweigern 1.2.0
Die Azure SQL-Datenbank muss TLS-Version 1.2 oder höher verwenden. Das Festlegen der TLS-Version auf 1.2 oder höher verbessert die Sicherheit, indem sichergestellt wird, dass Auf Ihre Azure SQL-Datenbank nur von Clients mit TLS 1.2 oder höher zugegriffen werden kann. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. Überwachen, Deaktiviert, Verweigern 2.0.0
Für Azure SQL-Datenbank darf nur die Microsoft Entra-Authentifizierung aktiviert sein Azure SQL logischen Server müssen Microsoft Entra nur Authentifizierung verwenden. Diese Richtlinie verhindert nicht, dass Server mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/adonlycreate. Überprüfen, Verweigern, Deaktiviert 1.0.0
Azure SQL logische Server sollten während der Erstellung Microsoft Entra-only-Authentifizierung aktiviert sein Erfordern, dass Azure SQL logischen Server mit Microsoft Entra-only-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/adonlycreate. Überprüfen, Verweigern, Deaktiviert 1.3.0
Für Azure SQL Managed Instance darf nur die Microsoft Entra-Authentifizierung aktiviert sein Erfordert, dass Azure SQL Managed Instance die Microsoft Entra-only-Authentifizierung verwenden kann. Diese Richtlinie blockiert nicht, Azure SQL verwaltete Instanzen mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/adonlycreate. Überprüfen, Verweigern, Deaktiviert 1.0.0
Azure SQL Managed Instances sollten den öffentlichen Netzwerkzugriff deaktivieren Durch Deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) in Azure SQL Managed Instance wird die Sicherheit verbessert, indem sichergestellt wird, dass ein Zugriff nur in den zugehörigen virtuellen Netzwerke oder über private Endpunkte möglich ist. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. Überprüfen, Verweigern, Deaktiviert 1.0.0
Azure SQL Managed Instances sollten bei der Erstellung mit aktivierter Microsoft Entra-only-Authentifizierung erstellt werden Erfordert, dass Azure SQL Managed Instance mit Microsoft Entra-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/adonlycreate. Überprüfen, Verweigern, Deaktiviert 1.2.0
Azure Web Application Firewall sollte für Azure Front Door Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Überprüfen, Verweigern, Deaktiviert 1.0.2
Blocked-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Deaktiviert 1.0.0
Blocked-Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Deaktiviert 1.0.0
Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 2.2.1
Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung der Inhalte Ihrer Registrierungen im Ruhezustand zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. Überprüfen, Verweigern, Deaktiviert 1.1.2
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Überprüfen, Verweigern, Deaktiviert 2.0.0
Containerregistrierungen sollten private link Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Ihren Containerregistrierungen anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter: https://aka.ms/acr/private-link. Audit, deaktiviert 1.0.1
Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Überprüfen, Verweigern, Deaktiviert 1.2.0
CosmosDB-Konten sollten private link Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, deaktiviert 1.0.0
Diagnostische Protokolle in Azure KI Services Ressourcen sollten aktiviert sein Aktivieren Sie die Protokollierung für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten zu Untersuchungszwecken nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Deaktiviert 1.0.0
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 2.1.0
Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein Azure-Datenbank für MySQL unterstützt die Verbindung Ihres Servers mit Azure-Datenbank für MySQL mit Clientanwendungen, die Secure Sockets Layer (SSL) verwenden. Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, deaktiviert 1.0.1
Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein Azure Database for PostgreSQL unterstützt das Herstellen einer Verbindung zwischen Ihrem Azure Database for PostgreSQL-Server und Clientanwendungen unter Verwendung von Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. Audit, deaktiviert 1.0.1
Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. AuditIfNotExists, Deaktiviert 1.1.0
Für Funktions-Apps sollte das Remote-Debuggen deaktiviert sein Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Deaktiviert 2.1.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Deaktiviert 2.1.0
Zugriff auf Funktions-Apps nur über HTTPS gestatten Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Überwachen, Deaktiviert, Verweigern 5.1.0
Funktions-Apps sollten nur FTPS erfordern Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. AuditIfNotExists, Deaktiviert 3.1.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Deaktiviert 3.1.0
Function-Apps sollten die neueste TLS-Version verwenden Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die aktuelle TLS-Version für Funktions-Apps durch, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionalitäten der aktuellen Version zu profitieren. AuditIfNotExists, Deaktiviert 2.3.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, deaktiviert 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, deaktiviert 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, deaktiviert 1.0.1
Guest-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Guest-Konten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Guest-Konten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden". Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Deaktiviert 1.0.3
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Deaktiviert 3.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Deaktiviert 3.0.0
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Überprüfen, Verweigern, Deaktiviert 1.0.2
Key Vault geheimen Schlüsseln sollte ein Ablaufdatum aufweisen Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Überprüfen, Verweigern, Deaktiviert 1.0.2
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Böswillige Löschung eines key vault kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder Microsoft kann Ihre Schlüsseltresor während des Aufbewahrungszeitraums für vorläufige Löschungen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. Überprüfen, Verweigern, Deaktiviert 2.1.0
Für Key Vaults sollte die Soft-Löschung aktiviert sein. Wird ein Schlüsseltresor gelöscht, ohne dass das vorläufige Löschen aktiviert ist, werden alle im Schlüsseltresor gespeicherten Geheimnisse, Schlüssel und Zertifikate endgültig gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Das vorläufige Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Key Vault innerhalb eines konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Überprüfen, Verweigern, Deaktiviert 3.1.0
Kubernetes Clustercontainer cpu- und arbeitsspeicherressourcengrenzwerte sollten die angegebenen Grenzwerte nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 9.3.0
Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben Blockieren sie die Freigabe des Hostprozess-ID-Namespace, des Host-IPC-Namespace und des Hostnetzwerknamespaces in einem Kubernetes-Cluster. Diese Empfehlung entspricht den Kubernetes Pod Security Standards für Hostnamespaces und ist Teil von CIS 5.2.1, 5.2.2 und 5.2.3, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Überprüfen, Verweigern, Deaktiviert 6.0.0
Kubernetes-Clustercontainer sollten nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 6.2.1
Kubernetes-Clustercontainer sollten nur zulässige Funktionen verwenden Beschränken Sie die Funktionen, um den Angriff surface von Containern in einem Kubernetes-Cluster zu reduzieren. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 6.2.0
Kubernetes-Clustercontainer sollten nur zulässige Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 9.3.0
Kubernetes-Clustercontainer sollten mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 6.3.0
Kubernetes-Clusterhostpath-Volumes sollten nur zulässige Hostpfade verwenden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist allgemein für Kubernetes Service (AKS) und Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 6.3.0
Kubernetes-Cluster-Pods und -Container sollten nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 6.2.0
Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden Beschränken Sie pod access auf das Hostnetzwerk und die zulässigen Hostports in einem Kubernetes-Cluster. Diese Empfehlung ist Teil von CIS 5.2.4, das die Sicherheit Ihrer Kubernetes-Umgebungen verbessern und mit Pod Security Standards (PSS) für hostPorts übereinstimmt. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Überprüfen, Verweigern, Deaktiviert 7.0.0
Kubernetes-Clusterdienste sollten nur zulässige Ports überwachen Schränken Sie Dienste so ein, dass nur auf zulässigen Ports überwacht wird, um access für den Kubernetes-Cluster zu sichern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 8.2.0
Kubernetes-Cluster sollte keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 9.2.0
Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit für Kubernetes Service (AKS) allgemein verfügbar und steht für Azure Arc-fähiges Kubernetes als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Überprüfen, Verweigern, Deaktiviert 9.0.0
Kubernetes-Cluster sollten api-Anmeldeinformationen für die automatische Bereitstellung deaktivieren Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 4.2.0
Kubernetes-Cluster sollten keine Eskalation von Containerberechtigungen zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Überprüfen, Verweigern, Deaktiviert 8.0.0
Kubernetes-Cluster sollten CAP_SYS_ADMIN Sicherheitsfunktionen nicht gewähren Um den Angriff surface Ihrer Container zu verringern, beschränken Sie CAP_SYS_ADMIN Linux-Funktionen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 5.1.0
Kubernetes-Cluster sollten nicht den Standardnamespace verwenden Verhindern Sie die Verwendung des Standardnamespaces in Kubernetes-Clustern, um vor nicht autorisierten access für ConfigMap-, Pod-, Secret-, Service- und ServiceAccount-Ressourcentypen zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 4.2.0
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. AuditIfNotExists, Deaktiviert 2.3.1
Virtuelle Linux-Computer sollten Azure Disk Encryption oder EncryptionAtHost aktivieren. Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Deaktiviert 1.2.1
Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Weitere Informationen zur AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Überprüfen, Verweigern, Deaktiviert 3.9.0
Geheime Ergebnisse auf Computern müssen aufgelöst werden Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. AuditIfNotExists, Deaktiviert 1.0.2
Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden. Der Mögliche Netzwerkzugriff just In Time (JIT) wird von Azure Security Center als Empfehlungen überwacht. AuditIfNotExists, Deaktiviert 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, Diese Angriffe versuchen, Zugangsdaten mit Brute-Force zu knacken, um Administratorzugriff auf die Maschine zu erhalten. AuditIfNotExists, Deaktiviert 3.0.0
Microsoft Defender CSPM sollte aktiviert sein Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für APIs sollte aktiviert sein Microsoft Defender für APIs bietet neue Erkennungs-, Schutz-, Erkennungs- und Reaktionsabdeckungen, um auf allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. AuditIfNotExists, Deaktiviert 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für SQL sollte für nicht geschützte Synapse-Arbeitsbereiche aktiviert sein Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Ihre Synapse SQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für den Speicher sollte aktiviert sein Microsoft Defender für Speicher erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Die neue Defender für den Speicherplan umfasst Schadsoftwareüberprüfung und die Erkennung vertraulicher Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Deaktiviert 1.0.0
MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie kundenverwaltete Schlüssel, um die Verschlüsselung Ihrer ruhenden MySQL-Server-Daten zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Deaktiviert 1.0.4
Network Watcher sollte aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in, in und von Azure aus überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene ermöglicht es Ihnen, Probleme mit einem End-to-End-Netzwerkblick zu diagnostizieren. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Deaktiviert 3.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Deaktiviert 3.0.0
Es sollten nur sichere Verbindungen mit Ihrem Azure-Cache für Redis aktiviert werden. Aktivieren des Auditings für ausschließlich über SSL hergestellte Verbindungen zu Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Überprüfen, Verweigern, Deaktiviert 1.0.0
PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung der Daten im Ruhezustand Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit kundenseitig verwalteten Schlüsseln können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Sie haben volle Kontrolle und Verantwortung für den wichtigsten Lebenszyklus, einschließlich Rotation und Verwaltung. AuditIfNotExists, Deaktiviert 1.0.4
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure SQL-Datenbank ermöglicht wird. Audit, deaktiviert 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Deaktiviert 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Deaktiviert 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Deaktiviert 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Durch Deaktivieren der Eigenschaft für den Zugriff auf das öffentliche Netzwerk wird die Sicherheit verbessert, indem sichergestellt wird, dass ihre Azure SQL-Datenbank nur über einen privaten Endpunkt aufgerufen werden kann. Diese Konfiguration verweigert alle Anmeldungen, die ip- oder virtual network-basierten Firewallregeln entsprechen. Überprüfen, Verweigern, Deaktiviert 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for MariaDB nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. Überprüfen, Verweigern, Deaktiviert 2.0.0
Public Network access sollte für MySQL-Server deaktiviert werden Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for MySQL nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. Überprüfen, Verweigern, Deaktiviert 2.0.0
Public-Netzwerk-access sollte für PostgreSQL-Server deaktiviert werden Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for PostgreSQL nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration unterbindet den Zugriff aus allen öffentlichen Adressbereichen außerhalb des Azure-IP-Bereichs und verweigert alle Anmeldungen, die den IP- oder auf virtuellen Netzwerken basierenden Firewallregeln entsprechen. Überprüfen, Verweigern, Deaktiviert 2.0.1
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
Ressourcenprotokolle in Azure Databricks-Arbeitsbereichen müssen aktiviert sein. Mithilfe von Ressourcenprotokollen können Aktivitätspfade für Untersuchungszwecke neu erstellt werden, wenn ein Sicherheitsvorfall auftritt oder wenn Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Deaktiviert 1.0.1
Die Ressourcenprotokolle in Azure Kubernetes Service sollten aktiviert sein Die Ressourcenprotokolle von Azure Kubernetes Service können beim Untersuchen von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. AuditIfNotExists, Deaktiviert 1.0.0
Ressourcenprotokolle im Azure Machine Learning-Arbeitsbereich müssen aktiviert sein Mithilfe von Ressourcenprotokollen können Aktivitätspfade für Untersuchungszwecke neu erstellt werden, wenn ein Sicherheitsvorfall auftritt oder wenn Ihr Netzwerk kompromittiert wird. AuditIfNotExists, Deaktiviert 1.0.1
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 3.1.0
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Aktivierung von Ressourcenprotokollen überprüfen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Deaktiviert 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.1.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Aktivierung von Ressourcenprotokollen überprüfen. Dadurch können Sie Aktivitätsverläufe für Untersuchungszwecke rekonstruieren, wenn ein Sicherheitsvorfall eintritt oder Ihr Netzwerk kompromittiert wurde. AuditIfNotExists, Deaktiviert 5.0.0
Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden Verwenden Sie Role-Based Access Control (RBAC) zum Verwalten von Berechtigungen in Kubernetes-Dienstclustern und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. Audit, deaktiviert 1.1.0
Sichere Übertragung in Speicherkonten sollte aktiviert werden Überprüfen Sie die Anforderung für die sichere Übertragung in Ihrem Speicherkonto. Sichere Übertragung ist eine Option, mit der Ihr storage Konto anforderungen nur von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. Überprüfen, Verweigern, Deaktiviert 2.0.0
Service-Fabric-Cluster sollten die ClusterProtectionLevel-Eigenschaft auf EncryptAndSign Der Dienst Fabric bietet drei Schutzebenen (None, Sign and EncryptAndSign) für die Kommunikation zwischen Knoten und Knoten mithilfe eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. Überprüfen, Verweigern, Deaktiviert 1.1.0
Service-Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Überwachen der Verwendung der Clientauthentifizierung nur über Azure Active Directory in Service Fabric Überprüfen, Verweigern, Deaktiviert 1.1.0
SQL-Datenbanken sollten Sicherheitsrisiken behoben haben Überwachen Sie die Ergebnisse von Schwachstellenbewertungsscans und Empfehlungen zur Behebung von Datenbankschwachstellen. AuditIfNotExists, Deaktiviert 4.1.0
Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von TDE (Transparent Data Encryption) mit Ihrem eigenen Schlüssel bietet mehr Transparenz und eine bessere Kontrolle über den TDE-Schutz, erhöht die Sicherheit durch einen HSM-basierten externen Dienst und fördert die Aufgabentrennung. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Überprüfen, Verweigern, Deaktiviert 2.0.0
Die automatische Bereitstellung von SQL-Servern sollte für SQL-Server auf dem Computerplan aktiviert sein. Um sicherzustellen, dass Ihre SQL-VMs und Arc-fähigen SQL-Server geschützt sind, stellen Sie sicher, dass der auf SQL ausgerichtete Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration AuditIfNotExists, Deaktiviert 1.0.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Deaktiviert 1.0.0
SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. Die Implementierung von Transparent Data Encryption (TDE) mit Ihrem eigenen Schlüssel bietet erhöhte Transparenz und Kontrolle über die TDE-Schutzkomponente, erhöhte Sicherheit mit einem HSM-gesicherten externen Dienst und Förderung der Trennung von Aufgaben. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. Überprüfen, Verweigern, Deaktiviert 2.0.1
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Vorfalluntersuchung empfehlen wir, die Datenaufbewahrung für die Überwachung Ihrer SQL Server mit dem Speicherkonto als Ziel auf mindestens 90 Tage festzulegen. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Deaktiviert 3.0.0
Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine bequeme Möglichkeit zum Freigeben von Daten, kann aber Sicherheitsrisiken darstellen. Um Datenschutzverletzungen zu verhindern, die durch unerwünschten anonymen Zugriff verursacht werden, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, es sei denn, Ihr Szenario erfordert es. Prüfung, Audit, verweigern, Ablehnung, deaktiviert, Deaktivierung 3.1.1
Storage-Konten sollten zu neuen Azure Resource Manager Ressourcen migriert werden Verwenden Sie neue Azure Resource Manager für Ihre Speicherkonten, um Sicherheitsverbesserungen bereitzustellen, z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung Überprüfen, Verweigern, Deaktiviert 1.0.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. Überprüfen, Verweigern, Deaktiviert 2.0.0
Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. Überprüfen, Verweigern, Deaktiviert 1.0.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internet- oder lokalen Clients zuzulassen, kann der Zugriff auf den Datenverkehr von bestimmten Azure virtuellen Netzwerken oder öffentlichen Internet-IP-Adressbereichen gewährt werden. Überprüfen, Verweigern, Deaktiviert 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Überprüfen, Verweigern, Deaktiviert 1.0.1
Speicherkonten sollten den Netzwerkzugriff mithilfe von Regeln für virtuelle Netzwerke einschränken (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Überprüfen, Verweigern, Deaktiviert 1.0.0
Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden Sichern Sie Ihr Blob- und Dateispeicherkonto mit größerer Flexibilität durch kundenseitig verwaltete Schlüssel. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser Schlüssel verwendet, um den Zugriff auf den Schlüssel zu schützen und zu steuern, der Ihre Daten verschlüsselt. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. Audit, deaktiviert 1.0.3
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Links finden Sie unter folgendem Link: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Deaktiviert 2.0.0
Speicherkonten sollten einen privaten Link verwenden (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Links finden Sie unter folgendem Link: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Deaktiviert 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Deaktiviert 3.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 1.0.1
Synapse-Arbeitsbereiche sollten Microsoft Entra-only-Authentifizierung aktiviert sein Für Synapse-Arbeitsbereiche muss Microsoft Entra nur die Authentifizierung verwendet werden. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/Synapse. Überprüfen, Verweigern, Deaktiviert 1.0.0
Synapse-Arbeitsbereiche sollten nur Microsoft Entra Identitäten für die Authentifizierung während der Arbeitsbereicherstellung verwenden Erfordern, dass Synapse-Arbeitsbereiche mit Microsoft Entra Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter: https://aka.ms/Synapse. Überprüfen, Verweigern, Deaktiviert 1.2.0
Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig kritische Patches für Sicherheitslöcher. Solche Löcher werden häufig in Schadsoftwareangriffen ausgenutzt, sodass es wichtig ist, Ihre Software auf dem neuesten Stand zu halten. Um alle ausstehenden Patches zu installieren und Ihre Computer zu sichern, führen Sie die Korrekturschritte aus. AuditIfNotExists, Deaktiviert 1.0.1
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Deaktiviert 3.0.0
Transparente Datenverschlüsselung in SQL-Datenbanken sollte aktiviert sein Die transparente Datenverschlüsselung (TDE) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. AuditIfNotExists, Deaktiviert 2.0.0
Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. Überprüfen, Verweigern, Deaktiviert 1.0.0
Virtuelle Computer sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager für Ihre virtuellen Maschinen, um Sicherheitsverbesserungen bereitzustellen, wie z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, eine auf dem Azure Resource Manager basierende Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf den Schlüsseltresor für Geheimnisse, Azure AD-basierte Authentifizierung sowie Unterstützung für Tags und Ressourcengruppen für eine einfachere Verwaltung der Sicherheit. Überprüfen, Verweigern, Deaktiviert 1.0.0
Die VM-Erweiterung „Gastkonfiguration“ muss mit systemseitig zugewiesener verwalteter Identität bereitgestellt werden. Für die Erweiterung "Gastkonfiguration" ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol AuditIfNotExists, Deaktiviert 1.0.1
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verwaltet die Konnektivität zwischen den Verbrauchern und Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Überwachen, Deaktiviert, Verweigern 1.1.0
VPN-Gateways sollten nur Azure Active Directory (Azure AD)-Authentifizierung für Point-to-Site-Benutzer verwenden Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass VPN-Gateways nur Azure Active Directory Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Überprüfen, Verweigern, Deaktiviert 1.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Überwachen Sie jede SQL Managed Instance, die keine ordnungsgemäß konfigurierte Sicherheitsrisikobewertung aufweist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Deaktiviert 1.1.0
Die Schwachstellenbewertung sollte auf Ihren SQL-Servern aktiviert sein Überwachen Sie Azure SQL Server, auf denen keine Sicherheitsrisikobewertung ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Deaktiviert 3.0.0
Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Überprüfen, Verweigern, Deaktiviert 2.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Windows Defender Exploit Guard verwendet den Azure Policy Guest Configuration Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind, und blockieren Verhaltensweisen, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). AuditIfNotExists, Deaktiviert 2.0.0
Windows-Computer sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden. Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. AuditIfNotExists, Deaktiviert 4.1.1
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. AuditIfNotExists, Deaktiviert 2.1.1
Auf Windows-VMs sollten Azure Disk Encryption oder EncryptionAtHost aktiviert werden. Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Deaktiviert 1.1.1

kategorie Microsoft Defender for Cloud

Name
(Azure Portal)
Description Effect(s) Version
(GitHub)
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Linux Arc-Computer installiert sein Installieren Sie die ChangeTracking-Erweiterung auf Linux Arc-Computern, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein Installieren Sie die ChangeTracking-Erweiterung auf virtuellen Linux-Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 2.0.0-preview
[Vorschau]: ChangeTracking-Erweiterung sollte auf Ihrem Windows Arc-Computer installiert sein Installieren Sie die ChangeTracking-Erweiterung auf Windows Arc-Computern, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: ChangeTracking-Erweiterung sollte auf Ihrem Windows virtuellen Computer installiert sein Installieren Sie die ChangeTracking-Erweiterung auf Windows virtuellen Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 2.0.0-preview
[Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf virtuellem Computer Konfigurieren Sie Windows Computer so, dass die Azure Defender für DEN SQL-Agent, auf dem der Azure Monitor Agent installiert ist, automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und Log Analytics Arbeitsbereich in derselben Region wie der Computer. Ziel-VMs müssen sich an einem unterstützten Standort befinden. DeployIfNotExists, deaktiviert 1.0.0-preview
[Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren Konfigurieren Sie unterstützte virtuelle Linux-Computer skalierungssätze, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 6.1.0-preview
[Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. DeployIfNotExists, deaktiviert 5.0.0-preview
[Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass die Erweiterung für den Gastnachweis automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 7.1.0-preview
[Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. DeployIfNotExists, deaktiviert 2.0.0-preview
[Vorschau]: Konfigurieren unterstützter Windows Skalierungsgruppen für virtuelle Computer, um die Erweiterung für den Gastnachweis automatisch zu installieren Konfigurieren Sie unterstützte Windows VM-Skalierungsgruppen, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 4.1.0-preview
[Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um den sicheren Start automatisch zu aktivieren Konfigurieren Sie unterstützte Windows virtuellen Computer, um den sicheren Start automatisch zu aktivieren, um böswillige und nicht autorisierte Änderungen an der Startkette zu vermeiden. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. DeployIfNotExists, deaktiviert 3.0.0-preview
[Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um die Erweiterung für den Gastnachweis automatisch zu installieren Konfigurieren Sie unterstützte Windows virtuellen Computern so, dass die Erweiterung "Gastnachweis" automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 5.1.0-preview
[Vorschau]: Konfigurieren von virtuellen Computern, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren Konfigurieren Sie virtuelle Computer, die mit Shared Image Gallery-Images erstellt wurden, um die Erweiterung "Gastnachweis" automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 2.0.0-preview
[Vorschau]: Konfigurieren von VMSS, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren Konfigurieren Sie VMSS, die mit Shared Image Gallery-Images erstellt wurde, um die Gastnachweiserweiterung automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. DeployIfNotExists, deaktiviert 2.1.0-preview
[Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agent auf Linux-Hybridcomputern Stellt Microsoft Defender for Endpoint Agent auf Linux-Hybridcomputern bereit BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert 2.0.1-preview
[Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents auf virtuellen Linux-Computern Stellt Microsoft Defender for Endpoint Agent auf anwendbaren Linux-VM-Images bereit. BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert 3.0.0-preview
[Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents auf Windows Azure Arc Computern Stellt Microsoft Defender for Endpoint auf Windows Azure Arc Computern bereit. BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert 2.0.1-preview
[Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agent auf Windows virtuellen Computern Stellt Microsoft Defender for Endpoint für anwendbare Windows VM-Images bereit. BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert 2.0.1-preview
[Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. AuditIfNotExists, Deaktiviert 6.0.0-preview
[Vorschau]: Für unterstützte virtuelle Linux-Computer-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. AuditIfNotExists, Deaktiviert 5.1.0-preview
[Vorschau]: Für unterstützte Windows-VMs muss die Erweiterung für den Gastnachweis installiert sein Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. AuditIfNotExists, Deaktiviert 4.0.0-preview
[Vorschau]: Für unterstützte Windows-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein. Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern skalierungssätze, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Skalierungssätze für vertrauenswürdige Starts und vertraulichen Windows virtuellen Computer. AuditIfNotExists, Deaktiviert 3.1.0-preview
[Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender for Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Linux-VMs sollten Secure Boot verwenden Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor Agent installiert ist. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten Azure Nutzungsbedingungen verbieten die Verwendung von Azure Diensten auf Die Weise, dass Microsoft Server oder das Netzwerk beschädigt, deaktiviert, überlastet oder beeinträchtigt werden kann. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Für unterstützte Windows-VMs muss der sichere Neustart aktiviert sein Aktivieren Sie den sicheren Start auf unterstützten Windows virtuellen Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. Audit, deaktiviert 4.0.0-preview
[Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. AuditIfNotExists, Deaktiviert 1.0.0-preview
[Vorschau]: Für unterstützte VMs sollte vTPM aktiviert werden Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. Audit, deaktiviert 2.0.0-preview
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Deaktiviert 3.0.0
Eine Lösung zur Sicherheitsrisikobewertung sollte auf Ihren virtuellen Computern aktiviert werden. Überprüft virtuelle Computer, um zu erkennen, ob sie eine unterstützte Lösung zur Sicherheitsrisikobewertung ausführen. Eine Kernkomponente jedes Cyber-Risiko- und Sicherheitsprogramms ist die Identifizierung und Analyse von Schwachstellen. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Deaktiviert 3.0.0
Alle Netzwerkports sollten für Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrem virtuellen Computer zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann angreifern ermöglichen, Ihre Ressourcen als Ziel zu verwenden. AuditIfNotExists, Deaktiviert 3.0.0
API-Endpunkte in Azure API Management sollten authentifiziert werden API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dadurch können Angreifer Implementierungsfehler ausnutzen und Daten access. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://dotnet.territoriali.olinfo.it/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication AuditIfNotExists, Deaktiviert 1.0.1
API-Endpunkte, die nicht verwendet werden, sollten deaktiviert und aus dem Azure API Management Dienst entfernt werden Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies können APIs sein, die vom Azure API Management Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. AuditIfNotExists, Deaktiviert 1.0.1
Assign System Assigned Identity to SQL Virtual Machines Weisen Sie die vom System zugewiesene Identität im Maßstab Windows virtuellen SQL-Computern zu. DeployIfNotExists, deaktiviert 1.0.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, deaktiviert 2.0.1
Azure DDoS Protection sollte aktiviert sein DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Deaktiviert 3.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für Azure SQL-Datenbank Server sollte aktiviert sein Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. AuditIfNotExists, Deaktiviert 1.0.2
Azure Defender für Key Vault sollte aktiviert sein Azure Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für relationale Open-Source-Datenbanken sollten aktiviert sein Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für Resource Manager sollte aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für Server sollte aktiviert sein Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. AuditIfNotExists, Deaktiviert 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert sein Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. AuditIfNotExists, Deaktiviert 1.0.2
Azure Defender für SQL sollte für nicht geschützte mySQL-flexible Server aktiviert sein Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security AuditIfNotExists, Deaktiviert 1.0.0
Azure Defender für SQL sollte für ungeschützte flexible PostgreSQL-Server aktiviert sein Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security AuditIfNotExists, Deaktiviert 1.0.0
Azure-Registrierungs-Containerabbildungen sollten Sicherheitsanfälligkeiten behoben haben (unterstützt von Microsoft Defender Vulnerability Management) Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. AuditIfNotExists, Deaktiviert 1.0.1
In Azure ausgeführte Containerimages sollten Verwundbarkeiten mithilfe von Microsoft Defender Vulnerability Management behoben haben Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Schwachstellen in Container-Images, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihrer Sicherheitslage, wodurch die Angriffsoberfläche für Ihre Container-Workloads erheblich reduziert wird. AuditIfNotExists, Deaktiviert 1.0.1
Blocked-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Deaktiviert 1.0.0
Blocked-Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Deaktiviert 1.0.0
ChangeTracking-Erweiterung sollte auf Ihren virtuellen Linux-Computer-Skalierungssätzen installiert werden Installieren Sie changeTracking Extension auf virtuellen Linux-Computer-Skalierungssätzen, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 2.0.1
ChangeTracking-Erweiterung sollte auf Ihren Windows VM-Skalierungssätzen installiert werden Installieren Sie die ChangeTracking-Erweiterung auf Windows Skalierungsgruppen für virtuelle Computer, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. AuditIfNotExists, Deaktiviert 2.0.1
Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. AuditIfNotExists, Deaktiviert 1.0.0
Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. AuditIfNotExists, Deaktiviert 1.0.0
Configure Erweiterter Schutz vor Bedrohungen auf Azure Datenbank für flexible MySQL-Server aktiviert werden Aktivieren Sie Erweiterter Schutz vor Bedrohungen auf Ihrer Azure-Datenbank für flexible MySQL-Server, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder sie auszunutzen. DeployIfNotExists, deaktiviert 1.0.0
Configure Erweiterter Schutz vor Bedrohungen auf Azure Datenbank für flexible PostgreSQL-Server aktiviert werden Aktivieren Sie Erweiterter Schutz vor Bedrohungen auf Ihrer Azure-Datenbank für flexible Server von PostgreSQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. DeployIfNotExists, deaktiviert 1.1.0
Configure Arc-fähige SQL-Server, um Azure Monitor Agent automatisch zu installieren Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows Arc-fähigen SQL-Servern. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, deaktiviert 1.3.0
Configure Arc-fähige SQL-Server, um Microsoft Defender für SQL automatisch zu installieren Konfigurieren Sie Windows Arc-fähigen SQL-Server so, dass die Microsoft Defender für den SQL-Agent automatisch installiert werden. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. DeployIfNotExists, deaktiviert 1.2.0
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem Log Analytics-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. DeployIfNotExists, deaktiviert 1.6.0
Konfigurieren von arcfähigen SQL-Servern für die automatische Installation von Microsoft Defender für SQL und DCR mit einem benutzerdefinierten LA-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. DeployIfNotExists, deaktiviert 1.8.0
Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung zu Microsoft Defender für SQL DCR Konfigurieren Sie die Zuordnung zwischen arcfähigen SQL-Servern und dem Microsoft Defender für SQL DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. DeployIfNotExists, deaktiviert 1.1.0
Konfigurieren von arcfähigen SQL-Servern mit der Datensammlungsregelzuordnung in Microsoft Defender für SQL benutzerdefinierte DCR Konfigurieren Sie die Zuordnung zwischen arcfähigen SQL-Servern und dem Microsoft Defender für benutzerdefinierte SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. DeployIfNotExists, deaktiviert 1.3.0
Azure Defender for App Service so konfigurieren, dass es aktiviert wird Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. DeployIfNotExists, deaktiviert 1.0.1
Azure Defender für Azure SQL-Datenbank so konfigurieren, dass es aktiviert wird Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. DeployIfNotExists, deaktiviert 1.0.1
Configure Azure Defender, damit relationale Open-Source-Datenbanken aktiviert werden Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. DeployIfNotExists, deaktiviert 1.0.0
Configure Azure Defender, damit Resource Manager aktiviert werden kann Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. DeployIfNotExists, deaktiviert 1.1.0
Configure Azure Defender für Server aktiviert werden Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. DeployIfNotExists, deaktiviert 1.0.1
Configure-Azure Defender für SQL-Server auf Computern, die aktiviert werden sollen Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. DeployIfNotExists, deaktiviert 1.0.1
Konfigurieren der grundlegenden Microsoft Defender für die Aktivierung des Speichers (nur Aktivitätsüberwachung) Microsoft Defender for Storage bietet azure-native Bedrohungserkennung für Speicherkonten. Diese Richtlinie ermöglicht grundlegende Features (Aktivitätsüberwachung). Verwenden Sie aka.ms/DFStoragePolicy, um vollständigen Schutz zu gewährleisten, einschließlich Schadsoftwareüberprüfung und vertraulicher Datenermittlung. Aktualisierung der Hauptversion: PerTransaction wird nach dem 5. Februar 2025 nicht mehr für neue Aktivierungen unterstützt. Vorhandene Konten, die sie verwenden, werden weiterhin unterstützt. Weitere Informationen: aka.ms/DF-Storage/NewPlanMigration. DeployIfNotExists, deaktiviert 2.0.0
Konfigurieren der ChangeTracking-Erweiterung für Linux Arc-Computer Konfigurieren Sie Linux Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.1.0
Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungssätze Konfigurieren Sie skalierungssätze für virtuelle Linux-Computer, um die ChangeTracking-Erweiterung automatisch zu installieren, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.1.0
Konfigurieren der ChangeTracking-Erweiterung für virtuelle Linux-Computer Konfigurieren Sie virtuelle Linux-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.2.0
Configure ChangeTracking Extension für Windows Arc-Computer Konfigurieren Sie Windows Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.1.0
Configure ChangeTracking Extension für Windows vm scale sets Konfigurieren Sie Windows Skalierungsgruppen für virtuelle Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.1.0
Configure ChangeTracking Extension für Windows virtuelle Computer Konfigurieren Sie Windows virtuellen Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. DeployIfNotExists, deaktiviert 2.2.0
Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung Azure Defender enthält Sicherheitsrisikoüberprüfungen für Ihre Computer ohne zusätzliche Kosten. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Sicherheitsrisikobewertungsanbieter auf allen unterstützten Computern bereit, auf denen sie noch nicht installiert ist. DeployIfNotExists, deaktiviert 4.0.0
Configure Microsoft Defender CSPM Plan Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender CSPM aktiviert werden soll Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. DeployIfNotExists, deaktiviert 1.0.2
Microsoft Defender für Azure Cosmos DB für die Aktivierung konfigurieren Microsoft Defender für Azure Cosmos DB ist eine Azure-systemeigene Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle SQL-Einfügungen, bekannte schlechte Akteure basierend auf Microsoft Threat Intelligence, verdächtigen Zugriffsmustern und potenziellen Ausbeutung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender für Containerplan Neue Funktionen werden kontinuierlich zu Defender für container-Plan hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. DeployIfNotExists, deaktiviert 1.6.0
Microsoft Defender für Container als Aktiviert konfigurieren Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. DeployIfNotExists, deaktiviert 1.0.1
Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen innerhalb Microsoft Defender for Cloud (auch bekannt als WDATP_EXCLUDE_LINUX_...), um die automatische Bereitstellung von MDE für Linux-Server zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://dotnet.territoriali.olinfo.it/azure/defender-for-cloud/integration-defender-for-endpoint. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen innerhalb Microsoft Defender for Cloud (auch als WDATP_UNIFIED_SOLUTION bezeichnet), um die automatische Bereitstellung von MDE Unified Agent für Windows Server 2012R2 und 2016 zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://dotnet.territoriali.olinfo.it/azure/defender-for-cloud/integration-defender-for-endpoint. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP) Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen in Microsoft Defender for Cloud (auch als WDATP bezeichnet), für Windows Downlevel-Computer, die über MMA in MDE integriert sind, und die automatische Bereitstellung von MDE auf Windows Server 2019 , Windows Virtual Desktop und höher. Muss aktiviert sein, damit die anderen Einstellungen (wie WDATP_UNIFIED) funktionieren. Weitere Informationen finden Sie unter https://dotnet.territoriali.olinfo.it/azure/defender-for-cloud/integration-defender-for-endpoint. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender für Key Vault Plan Microsoft Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. DeployIfNotExists, deaktiviert 1.1.0
Configure Microsoft Defender für Serverplan Neue Funktionen werden kontinuierlich zu Defender für Server hinzugefügt, die möglicherweise die explizite Aktivierung des Benutzers erfordern. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender für Serverplan (P1 ODER P2) Stellt sicher, dass die ausgewählte Microsoft Defender für den Server-Unterplan (P1 oder P2) auf Abonnementebene aktiviert ist. Diese Richtlinie unterstützt die dynamische Auswahl über Parameter und erzwingt die Bereitstellung, wenn sie noch nicht konfiguriert ist. DeployIfNotExists, deaktiviert 1.1.0
Configure-Microsoft Defender für SQL für Synapse-Arbeitsbereiche aktiviert werden Aktivieren Sie Microsoft Defender für SQL in Ihren Azure Synapse Arbeitsbereichen, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf SQL-Datenbanken zuzugreifen oder diese auszunutzen. DeployIfNotExists, deaktiviert 1.0.0
Configure Microsoft Defender für die Aktivierung des Speichers Microsoft Defender für den Speicher ist eine Azure native Ebene von Sicherheitsintelligenz, die potenzielle Bedrohungen für Ihre Speicherkonten erkennt. Diese Richtlinie aktiviert alle Defender für Speicherfunktionen; Aktivitätsüberwachung, Schadsoftwareüberprüfung und Erkennung vertraulicher Daten. Weitere Informationen zu Defender für Speicherfunktionen und -vorteile finden Sie unter aka.ms/DefenderForStorage. DeployIfNotExists, deaktiviert 1.5.0
Konfigurieren des Microsoft Defender-Bedrohungsschutzes für KI-Dienste Neue Funktionen werden kontinuierlich zum Bedrohungsschutz für KI-Dienste hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. DeployIfNotExists, deaktiviert 1.1.0
Configure SQL Virtual Machines, um Azure Monitor Agent automatisch zu installieren Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung in Ihrem Windows SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. DeployIfNotExists, deaktiviert 1.6.0
Configure SQL Virtual Machines, um Microsoft Defender für SQL automatisch zu installieren Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. DeployIfNotExists, deaktiviert 1.6.0
Konfigurieren von SQL-VMs für die automatische Installation von Microsoft Defender for SQL und DCR mit einem Log Analytics-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. DeployIfNotExists, deaktiviert 1.9.0
Configure SQL Virtual Machines, um Microsoft Defender für SQL und DCR automatisch mit einem benutzerdefinierten LA-Arbeitsbereich zu installieren Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. DeployIfNotExists, deaktiviert 1.10.0
Configure SQL Virtual Machines, um Microsoft Defender für DIE SQL-Erweiterung automatisch zu installieren Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. DeployIfNotExists, deaktiviert 1.0.0
Konfigurieren des Microsoft Defender für den SQL-Log Analytics-Arbeitsbereich Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und Log Analytics Arbeitsbereich in derselben Region wie der Computer. DeployIfNotExists, deaktiviert 1.5.0
Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. ÜberprüfenWennNichtVorhanden, BereitstellenWennNichtVorhanden, Deaktiviert 1.8.0
Deploy – Konfigurieren von Unterdrückungsregeln für Azure Security Center Warnungen Unterdrücken Sie Azure Security Center Warnungen, um die Ermüdung von Warnungen zu verringern, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. deployIfNotExists 1.0.0
Bereitstellen des Exports im Event Hub als vertrauenswürdiger Dienst für Microsoft Defender for Cloud Daten Aktivieren Sie den Export nach Event Hub als vertrauenswürdiger Dienst von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in Event Hub als Konfiguration eines vertrauenswürdigen Dienstes mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. DeployIfNotExists, deaktiviert 1.0.0
Bereitstellen des Exports für Microsoft Defender for Cloud-Daten in Event Hub Aktivieren sie den Export in den Event Hub von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 4.2.0
Bereitstellen des Exports für Log Analytics Arbeitsbereich für Microsoft Defender for Cloud Daten Aktivieren Sie den Export in Log Analytics Arbeitsbereich von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in Log Analytics Arbeitsbereichskonfiguration mit Ihren Bedingungen und dem Zielarbeitsbereich im zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 4.1.0
Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Warnungen Aktivieren Sie die Automatisierung von Microsoft Defender for Cloud Warnungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 5.0.1
Bereitstellen der Workflowautomatisierung für Microsoft Defender für Cloud-Empfehlungen Aktivieren Sie die Automatisierung von Microsoft Defender for Cloud Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 5.0.1
Bereitstellen der Workflowautomatisierung für Microsoft Defender for Cloud Einhaltung gesetzlicher Vorschriften Aktivieren Sie die Automatisierung Microsoft Defender for Cloud einhaltung gesetzlicher Vorschriften. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. deployIfNotExists 5.0.1
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 1.2.0
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 2.1.0
Enable Microsoft Defender for Cloud in Ihrem Abonnement Identifiziert vorhandene Abonnements, die nicht von Microsoft Defender for Cloud überwacht werden, und schützt sie mit den kostenlosen Features Defender for Cloud. Abonnements, die bereits überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. deployIfNotExists 1.0.1
Enable Security Center die automatische Bereitstellung des Log Analytics Agents für Ihre Abonnements mit benutzerdefiniertem workspace. Erlauben Sie Security Center, den Log Analytics Agent in Ihren Abonnements automatisch bereitzustellen, um Sicherheitsdaten mithilfe eines benutzerdefinierten Arbeitsbereichs zu überwachen und zu sammeln. DeployIfNotExists, deaktiviert 1.0.0
Enable Security Center die automatische Bereitstellung des Log Analytics Agents für Ihre Abonnements mit Standardarbeitsbereich. Erlauben Sie Security Center, den Log Analytics Agent in Ihren Abonnements automatisch bereitzustellen, um Sicherheitsdaten mithilfe des ASC-Standardarbeitsbereichs zu überwachen und zu sammeln. DeployIfNotExists, deaktiviert 1.0.0
Aktivieren des Bedrohungsschutzes für KI-Workloads Microsoft Bedrohungsschutz für KI-Workloads bietet kontextbezogene, nachweisbasierte Sicherheitswarnungen zum Schutz von von zu Hause gewachsenen, generierten KI-basierten Anwendungen DeployIfNotExists, deaktiviert 1.0.0
Guest-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Guest-Konten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Guest-Konten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Deaktiviert 1.0.0
Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden". Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Deaktiviert 1.0.3
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Deaktiviert 3.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Deaktiviert 3.0.0
Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. Audit, deaktiviert 1.0.2
Für Cloud Services-Rolleninstanzen (erweiterter Support) muss der Log Analytics-Agent installiert sein Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. AuditIfNotExists, Deaktiviert 2.0.0
Geheime Ergebnisse auf Computern müssen aufgelöst werden Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. AuditIfNotExists, Deaktiviert 1.0.2
Verwaltungsports virtueller Computer müssen mit der Just-In-Time-Netzwerkzugriffssteuerung geschützt werden. Der Mögliche Netzwerkzugriff just In Time (JIT) wird von Azure Security Center als Empfehlungen überwacht. AuditIfNotExists, Deaktiviert 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, Diese Angriffe versuchen, Zugangsdaten mit Brute-Force zu knacken, um Administratorzugriff auf die Maschine zu erhalten. AuditIfNotExists, Deaktiviert 3.0.0
Microsoft Defender CSPM sollte aktiviert sein Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender for AI Services sollte aktiviert sein Überprüfen Sie, ob Microsoft Defender for AI Services für das Abonnement aktiviert ist. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für APIs sollte aktiviert sein Microsoft Defender für APIs bietet neue Erkennungs-, Schutz-, Erkennungs- und Reaktionsabdeckungen, um auf allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. AuditIfNotExists, Deaktiviert 1.0.3
Microsoft Defender für Azure Cosmos DB sollte aktiviert sein Microsoft Defender für Azure Cosmos DB ist eine Azure-systemeigene Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle SQL-Einfügungen, bekannte schlechte Akteure basierend auf Microsoft Threat Intelligence, verdächtigen Zugriffsmustern und potenziellen Ausbeutung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für SQL sollte für nicht geschützte Synapse-Arbeitsbereiche aktiviert sein Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Ihre Synapse SQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. AuditIfNotExists, Deaktiviert 1.0.0
Microsoft Defender für den Speicher sollte aktiviert sein Microsoft Defender für Speicher erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Die neue Defender für den Speicherplan umfasst Schadsoftwareüberprüfung und die Erkennung vertraulicher Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. AuditIfNotExists, Deaktiviert 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Deaktiviert 3.0.0
Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden Verwenden Sie Role-Based Access Control (RBAC) zum Verwalten von Berechtigungen in Kubernetes-Dienstclustern und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. Audit, deaktiviert 1.1.0
Security Center Standard-Tarif muss ausgewählt sein Die Standardpreisstufe ermöglicht die Bedrohungserkennung für Netzwerke und virtuelle Computer, bietet Bedrohungserkennung, Anomalieerkennung und Verhaltensanalysen in Azure Security Center Audit, deaktiviert 1.1.0
Einrichten von Abonnements für den Übergang zu einer alternativen Lösung zur Sicherheitsrisikobewertung Microsoft Defender für Cloud bietet Sicherheitsrisikoüberprüfungen für Ihre Computer ohne zusätzliche Kosten. Wenn Sie diese Richtlinie aktivieren, wird Defender for Cloud dazu führen, dass die Ergebnisse automatisch von der integrierten Microsoft Defender Sicherheitsrisikomanagementlösung an alle unterstützten Computer weitergegeben werden. DeployIfNotExists, deaktiviert 1.0.0-preview
SQL-Datenbanken sollten Sicherheitsrisiken behoben haben Überwachen Sie die Ergebnisse von Schwachstellenbewertungsscans und Empfehlungen zur Behebung von Datenbankschwachstellen. AuditIfNotExists, Deaktiviert 4.1.0
Die automatische Bereitstellung von SQL-Servern sollte für SQL-Server auf dem Computerplan aktiviert sein. Um sicherzustellen, dass Ihre SQL-VMs und Arc-fähigen SQL-Server geschützt sind, stellen Sie sicher, dass der auf SQL ausgerichtete Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration AuditIfNotExists, Deaktiviert 1.0.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Deaktiviert 1.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Deaktiviert 3.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Deaktiviert 1.0.1
Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig kritische Patches für Sicherheitslöcher. Solche Löcher werden häufig in Schadsoftwareangriffen ausgenutzt, sodass es wichtig ist, Ihre Software auf dem neuesten Stand zu halten. Um alle ausstehenden Patches zu installieren und Ihre Computer zu sichern, führen Sie die Korrekturschritte aus. AuditIfNotExists, Deaktiviert 1.0.1
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Deaktiviert 3.0.0
Die VM-Erweiterung „Gastkonfiguration“ muss mit systemseitig zugewiesener verwalteter Identität bereitgestellt werden. Für die Erweiterung "Gastkonfiguration" ist eine vom System zugewiesene verwaltete Identität erforderlich. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol AuditIfNotExists, Deaktiviert 1.0.1

Nächste Schritte

In diesem Artikel haben Sie Azure Policy Sicherheitsrichtliniendefinitionen in Defender for Cloud kennengelernt. Weitere Informationen zu Initiativen, Richtlinien und deren Beziehung zu den Empfehlungen von Defender for Cloud finden Sie unter What are security policies, initiatives, and recommendations?.