このページは、Microsoft Defender for Cloudに関連するAzure Policy組み込みのポリシー定義のインデックスです。 次のポリシー定義のグループを使用できます。
- initiatives グループには、"Defender for Cloud" カテゴリのAzure Policyイニシアチブ定義が一覧表示されます。
- default イニシアチブ グループには、Defender for Cloudの既定のイニシアチブである Microsoft クラウド セキュリティ ベンチマークに含まれるすべてのAzure Policy定義が一覧表示されます。 このMicrosoft作成され、広く評価されているベンチマークは、クラウド中心のセキュリティに焦点を当てた、Center for Internet Security (CIS) とNIST(NIST)からの制御に基づいています。
- カテゴリ グループには、"Defender for Cloud" カテゴリのすべてのAzure Policy定義が一覧表示されます。
セキュリティ ポリシーの詳細については、「セキュリティ ポリシーの操作」を参照してください。 他のサービスのその他のAzure Policy組み込みについては、Azure Policy組み込み定義を参照してください。
組み込みの各ポリシー定義の名前は、Azure ポータルのポリシー定義にリンクされます。 Version 列のリンクを使用して、Azure Policy GitHub リポジトリのソースを表示します。
Microsoft Defender for Cloudの取り組み
Defender for Cloudによって監視される組み込みイニシアチブについては、次の表を参照してください。
| Name | Description | Policies | Version |
|---|---|---|---|
| [プレビュー]: Microsoft Defender for Endpoint エージェントのデプロイ | 該当するイメージMicrosoft Defender for Endpointエージェントをデプロイします。 | 4 | 1.0.0-preview |
| Microsoftクラウド セキュリティ ベンチマーク イニシアチブは、クラウド セキュリティ ベンチマークで定義されているセキュリティに関する推奨事項Microsoft実装するポリシーと制御を表します。https://aka.ms/azsecbm を参照してください。 これは、既定のポリシー イニシアチブMicrosoft Defender for Cloudとしても機能します。 このイニシアチブを直接割り当てたり、Microsoft Defender for Cloud内でそのポリシーとコンプライアンスの結果を管理したりできます。 | 414 | 1.3.0-preview | |
| オープンソース リレーショナル データベースで有効にする構成高度な脅威保護 | Basic レベル以外のオープン ソース リレーショナル データベースで高度な脅威保護を有効にして、データベースへのアクセスや悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 「https://aka.ms/AzDforOpenSourceDBsDocu」を参照してください。 | 5 | 1.2.0 |
| SQL Server および SQL Managed Instance で有効にする構成Azure Defender | SQL Server と SQL Managed Instance のAzure Defenderを有効にして、データベースへのアクセスや悪用を試みる、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 | 3 | 3.0.0 |
| プランMicrosoft Defender for Cloud構成 | Microsoft Defender for Cloudは、マルチクラウド環境での開発から実行時までの包括的なクラウドネイティブ保護を提供します。 ポリシー イニシアチブを使用して、選択したスコープDefender for Cloud有効にするプランと拡張機能を構成します。 | 12 | 1.1.0 |
| データベースの構成Microsoft Defenderを有効にする | Azure SQL データベース、マネージド インスタンス、オープン ソース リレーショナル データベース、Cosmos DB を保護するようにデータベースのMicrosoft Defenderを構成します。 | 4 | 1.0.0 |
| Microsoft Defender for Cloud (WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTIONなど) を使用して複数のMicrosoft Defender for Endpoint統合設定を構成します。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | 3 | 1.0.0 | |
| 拡張機能をインストールするための SQL VM と Arc 対応 SQL Server の構成Microsoft Defender | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | 3 | 1.0.0 |
| LA ワークスペースを使用して SQL と AMA のMicrosoft Defenderをインストールするための SQL VM と Arc 対応 SQL Server の構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとデータ収集規則とLog Analytics ワークスペースを作成します。 | 9 | 1.3.0 |
| ユーザー定義の LA ワークスペースを使用して SQL と AMA のMicrosoft Defenderをインストールするための SQL VM と Arc 対応 SQL Server の構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 | 8 | 1.2.0 |
| Microsoftクラウド セキュリティ ベンチマーク | Microsoftクラウド セキュリティ ベンチマーク イニシアチブは、クラウド セキュリティ ベンチマークで定義されているセキュリティに関する推奨事項Microsoft実装するポリシーと制御を表します。https://aka.ms/azsecbm を参照してください。 これは、既定のポリシー イニシアチブMicrosoft Defender for Cloudとしても機能します。 このイニシアチブを直接割り当てたり、Microsoft Defender for Cloud内でそのポリシーとコンプライアンスの結果を管理したりできます。 | 223 | 57.56.0 |
Defender for Cloudの既定のイニシアティブ (クラウド セキュリティ ベンチマークMicrosoft)
Defender for Cloudによって監視される組み込みポリシーの詳細については、次の表を参照してください。
| ポリシー名 (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Centerは、一部のサブネットが次世代ファイアウォールで保護されていないことを確認しました。 Azure Firewallまたはサポートされている次世代ファイアウォールを使用してサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護する | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [プレビュー]: 有効になっている Kubernetes クラスター Azure Arc Microsoft Defender for Cloud拡張機能がインストールされている必要があります | Azure ArcのMicrosoft Defender for Cloud拡張機能は、Arc 対応 Kubernetes クラスターの脅威保護を提供します。 この拡張機能は、クラスター内のすべてのノードからデータを収集し、さらに分析するためにクラウドの Kubernetes バックエンドのAzure Defenderに送信します。 詳細については、「https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc」を参照してください。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: PostgreSQL フレキシブル サーバー Azure認証のみMicrosoft Entra有効にする必要があります | ローカル認証方法を無効にし、Microsoft Entra認証のみを許可することで、Azure PostgreSQL フレキシブル サーバーにMicrosoft Entra ID によって排他的にアクセスできるようにすることで、セキュリティが向上します。 | 監査、無効 | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI サーバーは、一貫してアプリケーション制御ポリシーを適用する必要があります | 少なくとも、Microsoft WDAC 基本ポリシーを、すべてのAzure Stack HCI サーバーに適用モードで適用します。 適用Windows Defenderアプリケーション制御 (WDAC) ポリシーは、同じクラスター内のサーバー間で一貫している必要があります。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI サーバーは、セキュリティで保護されたコア要件を満たす必要があります | すべてのAzure Stack HCI サーバーが、セキュリティで保護されたコア要件を満たしていることを確認します。 セキュリティで保護されたコア サーバーの要件を有効にするには: 1. Azure Stack HCI クラスター ページで、Windows Admin Centerに移動し、[接続] を選択します。 2. セキュリティ拡張機能に移動し、セキュリティで保護されたコアを選びます。 3. 有効になっていない設定を選び、[有効] をクリックします。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Azure Stack HCI システムには暗号化されたボリュームが必要です | BitLocker を使用して、Azure Stack HCI システム上の OS とデータ ボリュームを暗号化します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシンにインストールする必要があります | サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシン スケール セットにインストールする必要があります | サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [プレビュー]: ホストと VM のネットワークは、Azure Stack HCI システムで保護する必要があります | Azure Stack HCI ホスト ネットワークと仮想マシン ネットワーク接続上のデータを保護します。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloudは、1 つ以上の Linux マシンで信頼されていない OS ブート コンポーネントを特定しました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントを Linux 仮想マシンにインストールする必要がある | Security Center では、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: ネットワーク トラフィック データ収集エージェントは、Windows仮想マシンにインストールする必要があります | Security Center では、Microsoft Dependency Agent を使用してAzure仮想マシンからネットワーク トラフィック データを収集し、ネットワーク マップでのトラフィックの視覚化、ネットワーク強化に関する推奨事項、特定のネットワーク脅威などの高度なネットワーク保護機能を有効にします。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [プレビュー]: サポートされているWindows仮想マシンでセキュア ブートを有効にする必要があります | サポートされているWindows仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | 監査、無効 | 4.0.0-preview |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | 監査、無効 | 2.0.0-preview |
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Entra管理者は MySQL サーバー用にプロビジョニングする必要があります | mySQL サーバーのMicrosoft Entra管理者のプロビジョニングを監査して、Microsoft Entra認証を有効にします。 Microsoft Entra認証により、データベース ユーザーとその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります | AuditIfNotExists、Disabled | 1.1.1 |
| PostgreSQL サーバーに対してMicrosoft Entra管理者をプロビジョニングする必要があります | PostgreSQL サーバーのMicrosoft Entra管理者のプロビジョニングを監査して、Microsoft Entra認証を有効にします。 Microsoft Entra認証により、データベース ユーザーとその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります | AuditIfNotExists、Disabled | 1.0.1 |
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Centerの Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれます。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Centerでは、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎていることが確認されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL サーバーに対してAzure Active Directory管理者をプロビジョニングする必要があります | AZURE AD 認証を有効にするために、SQL サーバーのAzure Active Directory管理者のプロビジョニングを監査します。 Azure AD 認証により、データベース ユーザーやその他のMicrosoft サービスのアクセス許可管理と一元化された ID 管理が可能になります。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure API ManagementのAPI エンドポイントは認証する必要があります | Azure API Management内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 使用されていない API エンドポイントは無効にして、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスから非推奨とされているはずの API ですが、誤ってアクティブなままになっている可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists、Disabled | 1.0.1 |
| API Management APIs では暗号化されたプロトコルのみを使用する必要があります | 転送中のデータのセキュリティを確保するために、HTTPS や WSS などの暗号化されたプロトコル経由でのみ API を使用できるようにする必要があります。 HTTP や WS などのセキュリティで保護されていないプロトコルの使用は避けてください。 | 監査、無効、拒否 | 2.0.2 |
| API Management から API バックエンドへの呼び出しは認証する必要がある | API Management からバックエンドへの呼び出しでは、証明書または資格情報を使用するかどうかにかかわらず、何らかの形式の認証を使用する必要があります。 サービス Fabric バックエンドには適用されません。 | 監査、無効、拒否 | 1.0.1 |
| API Management から API バックエンドへの呼び出しでは、証明書の拇印または名前の検証をバイパスすることはできない | API セキュリティを改善するために、API Management では、すべての API 呼び出しのバックエンド サーバー証明書を検証する必要があります。 SSL 証明書のサムプリントと名前の検証を有効にします。 | 監査、無効、拒否 | 1.0.2 |
| API Management の直接管理エンドポイントを有効にしてはならない | Azure API Managementのダイレクト管理 REST API では、ロールベースのアクセス制御、承認、調整メカニズムAzure Resource Managerバイパスされるため、サービスの脆弱性が高まります。 | 監査、無効、拒否 | 1.0.2 |
| 名前付きの値は、各 API Management サービス内にある名前と値のペアのコレクションです。 シークレット値は、暗号化されたテキストとして API Management (カスタム シークレット) に格納することも、Azure Key Vault内のシークレットを参照して格納することもできます。 API Management とシークレットのセキュリティを向上させるには、Azure Key Vaultからシークレットの名前付き値を参照します。 Azure Key Vaultでは、きめ細かなアクセス管理とシークレット ローテーション ポリシーがサポートされます。 | 監査、無効、拒否 | 1.0.2 | |
| API Management サービスには仮想ネットワークが使用されている必要がある | Azure Virtual Networkデプロイにより、セキュリティと分離が強化され、アクセスを制御するインターネットに接続できないネットワークに API Management サービスを配置できます。 これらのネットワークは、さまざまな VPN テクノロジを使用してオンプレミス ネットワークに接続できます。これにより、ネットワークやオンプレミス内のバックエンド サービスにアクセスできるようになります。 開発者ポータルと API ゲートウェイは、インターネットから、または仮想ネットワーク内でのみアクセスできるように構成可能です。 | Audit、Deny、Disabled | 1.0.2 |
| API Management ではサービス構成エンドポイントへの公衆ネットワーク アクセスを無効にする必要がある | API Management サービスのセキュリティを強化するために、直接アクセス管理 API、Git 構成管理エンドポイント、セルフホステッド ゲートウェイ構成エンドポイントなどのサービス構成エンドポイントへの接続を制限してください。 | AuditIfNotExists、Disabled | 1.0.1 |
| API Management サブスクリプションのスコープをすべての API に限定することはできない | API Management サブスクリプションは、すべての API ではなく、製品または個々の API にスコープを設定する必要があります。 | 監査、無効、拒否 | 1.1.0 |
| App Configuration ではプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 サービス全体ではなく、アプリ構成インスタンスにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/appconfig/private-endpoint を参照してください。 | AuditIfNotExists、Disabled | 1.0.2 |
| App Service アプリでクライアント証明書 (受信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| App Service アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、App Service アプリ上で受信ポートが開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリではリソース ログを有効にする必要がある | アプリでリソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 2.0.1 |
| App Service アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) では、すべてのドメインに対してアプリへのアクセスを許可しないでください。 必要なドメインにのみアプリへのアクセスを許可してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| App Service アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 4.0.0 |
| App Service アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.0.0 |
| App Service アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、App Service アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.2.0 |
| カスタム RBAC ロールの使用状況を監査する | エラーが発生しやすいカスタム RBAC ロールの代わりに、所有者、共同作成者、閲覧者などの組み込みロールを監査します。 カスタム ロールの使用は例外として扱われ、厳格なレビューと脅威のモデル化が必要になります | 監査、無効 | 1.0.1 |
| SQL Server の監査を有効にする必要があります | SQL Serverの監査を有効にして、サーバー上のすべてのデータベースのデータベース アクティビティを追跡し、監査ログに保存する必要があります。 | AuditIfNotExists、Disabled | 2.0.0 |
| Linux マシンに対する認証では SSH キーを要求する必要がある | SSH 自体は暗号化された接続を提供しますが、SSH でパスワードを使用すると、VM はブルートフォース攻撃に対して脆弱になります。 SSH 経由で Azure Linux 仮想マシンに対して認証するための最も安全なオプションは、公開キーと秘密キーのペア (SSH キーとも呼ばれます) を使用することです。 詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed を参照してください。 | AuditIfNotExists、Disabled | 3.2.0 |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | 監査、無効 | 2.0.1 |
| Automation アカウント変数は、暗号化する必要がある | 機密データを格納するときには、Automation アカウント変数資産の暗号化を有効にすることが重要です | Audit、Deny、Disabled | 1.1.0 |
| カスタマー マネージド キーを使用して保存データを暗号化すると、キーのローテーションや管理など、キーのライフサイクルをより詳細に制御できます。 これは、関連するコンプライアンス要件がある組織に特に関係します。 これは既定では評価されず、コンプライアンスで、または制限的なポリシー要件で必要な場合にのみ適用する必要があります。 有効でない場合、データはプラットフォームマネージド キーを使用して暗号化されます。 これを実装するには、該当するスコープのセキュリティ ポリシーの "Effect" パラメーターを更新します。 | Audit、Deny、Disabled | 2.2.0 | |
| Azure AI Services リソースには、キー アクセスが無効になっている必要があります (ローカル認証を無効にする) | セキュリティのため、キー アクセス (ローカル認証) を無効にしておくことをお勧めします。 Azure OpenAI Studio は、通常、開発/テストで使用され、キー アクセスが必要であり、キー アクセスが無効になっている場合は機能しません。 無効にすると、Microsoft Entra IDが唯一のアクセス方法になり、最小限の特権の原則と詳細な制御を維持できます。 詳細については、https://aka.ms/AI/auth を参照してください | Audit、Deny、Disabled | 1.1.0 |
| Azure AI Services リソースはネットワーク アクセスを制限する必要があります | ネットワーク アクセスを制限すると、許可されたネットワークのみがサービスにアクセスできるようになります。 これは、許可されたネットワークからのアプリケーションのみがAzure AI サービスにアクセスできるようにネットワーク ルールを構成することで実現できます。 | Audit、Deny、Disabled | 3.3.0 |
| Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理することで、データ漏えいのリスクを軽減します。 プライベート リンクの詳細については、https://aka.ms/AzurePrivateLink/Overview を参照してください。 | 監査、無効 | 1.0.0 | |
| Azure API Management stv1 コンピューティング プラットフォーム バージョンは 2024 年 8 月 31 日に廃止され、これらのインスタンスは引き続きサポートするために stv2 コンピューティング プラットフォームに移行する必要があります。 詳細については、https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 を参照してください | Audit、Deny、Disabled | 1.0.0 | |
| Azure Arc有効な Kubernetes クラスターには、Azure Policy拡張機能がインストールされている必要があります | Azure ArcのAzure Policy拡張機能は、Arc 対応 Kubernetes クラスターに対する大規模な適用と保護を一元的かつ一貫した方法で提供します。 詳細については、https://aka.ms/akspolicydoc をご覧ください。 | AuditIfNotExists、Disabled | 1.1.0 |
| Azure Backupを有効にして、Azure 仮想マシンの保護を確保します。 Azure Backupは、Azureのためのセキュリティで保護されたコスト効率の高いデータ保護ソリューションです。 | AuditIfNotExists、Disabled | 3.0.0 | |
| Azure Cache for Redisはプライベート リンクを使用する必要があります | プライベート エンドポイントを使用すると、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート エンドポイントを Azure Cache for Redis インスタンスにマッピングすることで、データ漏えいのリスクが軽減されます。 詳細については、https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cosmos DB アカウントにはファイアウォール規則が必要です | 承認されていないソースからのトラフィックを防ぐために、Azure Cosmos DB アカウントにファイアウォール規則を定義する必要があります。 仮想ネットワーク フィルターを有効にして定義されている IP 規則が少なくとも 1 つあるアカウントは、準拠していると見なされます。 パブリック アクセスを無効にしているアカウントも、準拠していると見なされます。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Cosmos DB アカウントでは、保存データを暗号化するためにカスタマー マネージド キーを使用する必要があります | カスタマー マネージド キーを使用して、Azure Cosmos DBの残りの部分の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/cosmosdb-cmk をご覧ください。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Cosmos DBはパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすると、パブリック インターネットに CosmosDB アカウントが確実に露出されなくなるのでセキュリティが向上します。 プライベート エンドポイントを作成すると、CosmosDB アカウントの露出を制限できます。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Databricks ワークスペースでクラスターのパブリック IP を無効にすると、クラスターがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 詳細については、https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity を参照してください。 | Audit、Deny、Disabled | 1.0.1 | |
| Azure Databricks ワークスペースは仮想ネットワークに存在する必要があります | Azure仮想ネットワークでは、Azure Databricks ワークスペースだけでなく、サブネット、アクセス制御ポリシー、その他の機能のセキュリティと分離が強化され、アクセスをさらに制限できます。 詳細については、https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject を参照してください。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Databricks ワークスペースはパブリック ネットワーク アクセスを無効にする必要があります | 公衆ネットワーク アクセスを無効にすれば、パブリック インターネットにリソースが露出されないのでセキュリティが向上します。 リソースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細については、https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link を参照してください。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks ワークスペースではプライベート リンクを使用する必要があります | Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントをAzure Databricksワークスペースにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/adbpe を参照してください。 | 監査、無効 | 1.0.2 |
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| App Service Azure Defender を有効にする必要があります | App Service のAzure Defenderでは、クラウドの規模と、クラウド プロバイダーとしてAzureが持つ可視性を活用して、一般的な Web アプリ攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure SQL Database サーバーのAzure Defenderを有効にする必要があります | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | AuditIfNotExists、Disabled | 1.0.2 |
| Key VaultのAzure Defenderを有効にする必要があります | Key VaultのAzure Defenderは、通常とは異なる、有害な可能性のあるアカウントへのアクセスや悪用の試行を検出することで、保護とセキュリティ インテリジェンスkey vault追加のレイヤーを提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープン ソース リレーショナル データベースのAzure Defenderを有効にする必要があります | オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Resource ManagerのAzure Defenderを有効にする必要があります | Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバーのAzure Defenderを有効にする必要があります | サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 | AuditIfNotExists、Disabled | 1.0.3 |
| マシン上の SQL サーバーのAzure Defenderを有効にする必要があります | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for SQL は、保護されていないAzure SQL サーバーに対して有効にする必要があります | Advanced Data Security を使用していない SQL サーバーの監査 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure Defender for SQL は、保護されていない MySQL フレキシブル サーバーに対して有効にする必要があります | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for SQL は、保護されていない PostgreSQL フレキシブル サーバーに対して有効にする必要があります | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for SQL は、保護されていない SQL Managed Instance に対して有効にする必要があります | 高度なデータ セキュリティを使用せずに、各SQL Managed Instanceを監査します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Event Grid ドメインではプライベート リンクを使用する必要があります | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 サービス全体ではなく、Event Grid ドメインにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | 監査、無効 | 1.0.2 |
| Azure Event Grid トピックではプライベート リンクを使用する必要があります | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 サービス全体ではなく、Event Grid トピックにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/privateendpoints を参照してください。 | 監査、無効 | 1.0.2 |
| Azure Key Vaultでファイアウォールが有効になっているか、パブリック ネットワーク アクセスが無効になっている必要があります | Key Vault ファイアウォールを有効にして、キー コンテナーが既定でパブリック IP からアクセスできないようにするか、キー コンテナーのパブリック ネットワーク アクセスを無効にして、パブリック インターネット経由でアクセスできないようにします。 必要に応じて、特定の IP 範囲を構成して、これらのネットワークへのアクセスを制限できます。 詳細情報: https://docs.microsoft.com/azure/key-vault/general/network-security および https://aka.ms/akvprivatelink | Audit、Deny、Disabled | 3.3.0 |
| Azure Key Vault は RBAC アクセス許可モデルを使用する必要があります | Key Vault 間で RBAC アクセス許可モデルを有効にします。 詳細については、https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration を参照してください | Audit、Deny、Disabled | 1.0.1 |
| Azure Key Vault はプライベート リンクを使用する必要があります | Azure Private Linkを使用すると、ソースまたは宛先にパブリック IP アドレスを持たないAzure サービスに仮想ネットワークを接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントをキー コンテナーにマッピングすることにより、データ漏えいのリスクを軽減することができます。 プライベート リンクの詳細については、https://aka.ms/akvprivatelink を参照してください。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service クラスターではDefenderプロファイルが有効になっている必要があります | Microsoft Defender for Containers では、環境のセキュリティ強化、ワークロード保護、実行時の保護など、クラウドネイティブの Kubernetes セキュリティ機能が提供されます。 Azure Kubernetes Service クラスターで SecurityProfile.AzureDefender を有効にすると、セキュリティ イベント データを収集するためにエージェントがクラスターにデプロイされます。 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks でのコンテナーのMicrosoft Defenderの詳細を確認する | 監査、無効 | 2.0.1 |
| Azure Machine Learning コンピューティング インスタンスを再作成して、最新のソフトウェア更新プログラムを取得する必要があります | コンピューティング インスタンスAzure Machine Learning、使用可能な最新のオペレーティング システムで実行されていることを確認します。 最新のセキュリティ パッチを適用して実行することで、セキュリティが強化され、脆弱性が低減します。 詳細については、https://aka.ms/azureml-ci-updates/ を参照してください。 | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning コンピューティングは仮想ネットワークに存在する必要があります | Azure仮想ネットワークでは、Azure Machine Learning コンピューティング クラスターとインスタンス、サブネット、アクセス制御ポリシー、その他の機能のセキュリティと分離が強化され、アクセスをさらに制限できます。 コンピューティングが仮想ネットワークで構成されていると、パブリックなアドレス指定ができなくなり、仮想ネットワーク内の仮想マシンとアプリケーションからのみアクセスできるようになります。 | 監査、無効 | 1.0.1 |
| Azure Machine Learning コンピューティングでは、ローカル認証方法が無効になっている必要があります | ローカル認証方法を無効にすると、Machine Learningコンピューティングで認証専用のAzure Active Directory ID が必要とされ、セキュリティが向上します。 詳細については、https://aka.ms/azure-ml-aad-policy を参照してください。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Machine Learning ワークスペースはカスタマー マネージド キーで暗号化する必要があります | カスタマー マネージド キーを使用して、Azure Machine Learning ワークスペース データの保存時の暗号化を管理します。 既定では、顧客データはサービス マネージド キーを使用して暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/azureml-workspaces-cmk をご覧ください。 | Audit、Deny、Disabled | 1.1.0 |
| Azure Machine Learning ワークスペースはパブリック ネットワーク アクセスを無効にする必要があります | パブリック ネットワーク アクセスを無効にすると、Machine Learning ワークスペースがパブリック インターネットで公開されないようにすることで、セキュリティが向上します。 ワークスペースの公開は、その代わりにプライベート エンドポイントを作成することで制御できます。 詳細情報: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure Machine Learning ワークスペースではプライベート リンクを使用する必要があります | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 プライベート エンドポイントを Azure Machine Learning ワークスペースにマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link を参照してください。 | 監査、無効 | 1.0.0 |
| Azure MySQL フレキシブル サーバーでは、認証のみMicrosoft Entra有効にする必要があります | ローカル認証方法を無効にし、Microsoft Entra認証のみを許可すると、Azure MySQL フレキシブル サーバーにMicrosoft Entra ID によって排他的にアクセスできるようにすることで、セキュリティが向上します。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Policy Kubernetes Service (AKS) のアドオンをクラスターにインストールして有効にする必要があります | Kubernetes Service (AKS) 用のAzure Policyアドオンは、Open Policy Agent (OPA) のアドミッション コントローラー Webhook である Gatekeeper v3 を拡張し、クラスターに大規模な適用と保護を一元的かつ一貫した方法で適用します。 | 監査、無効 | 1.0.2 |
| Azureレジストリ コンテナー イメージに脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 | |
| Azure SignalR Serviceはプライベート リンクを使用する必要があります | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 サービス全体ではなく、プライベート エンドポイントをAzure SignalR Service リソースにマッピングすることで、データ漏えいのリスクを軽減できます。 プライベート リンクの詳細については、https://aka.ms/asrs/privatelink を参照してください。 | 監査、無効 | 1.0.0 |
| Azure Spring Cloud インスタンスでは、次の目的で仮想ネットワークインジェクションを使用する必要があります: 1。 Spring Cloud Azureインターネットから分離します。 2. Azure Spring Cloud がオンプレミスのデータ センターまたは他の仮想ネットワーク内のサービスAzureシステムと対話できるようにします。 3. Azure Spring Cloud の受信と送信のネットワーク通信を制御できるようにします。 | 監査、無効、拒否 | 1.2.0 | |
| Azure SQL Databaseは TLS バージョン 1.2 以降を実行している必要があります | TLS バージョンを 1.2 以降に設定すると、TLS 1.2 以降を使用するクライアントからのみAzure SQL Databaseにアクセスできるようにすることで、セキュリティが向上します。 1\.2 より前のバージョンの TLS は、セキュリティの脆弱性が詳しく文書化されているため、使用をお勧めしません。 | 監査、無効、拒否 | 2.0.0 |
| Azure SQL Databaseでは、Microsoft Entra専用認証が有効になっている必要があります | 論理サーバー Azure SQL Microsoft Entra専用認証を使用する必要があります。 このポリシーでは、ローカル認証が有効なサーバーが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL論理サーバーでは、作成時にMicrosoft Entra専用認証が有効になっている必要があります | Microsoft Entra専用認証Azure SQL論理サーバーを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.3.0 |
| Azure SQL Managed Instanceでは、Microsoft Entra専用認証が有効になっている必要があります | Microsoft Entra専用認証を使用するには、Azure SQL Managed Instanceが必要です。 このポリシーは、ローカル認証を有効にしてマネージド インスタンスAzure SQL作成することをブロックしません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instances はパブリック ネットワーク アクセスを無効にする必要があります | Azure SQL Managed Instances でパブリック ネットワーク アクセス (パブリック エンドポイント) を無効にすると、仮想ネットワーク内またはプライベート エンドポイント経由でのみアクセスできるようにすることで、セキュリティが向上します。 パブリック ネットワーク アクセスについて詳しくは、https://aka.ms/mi-public-endpoint をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL Managed Instances では、作成時にMicrosoft Entra専用認証が有効になっている必要があります | Microsoft Entra専用認証を使用してAzure SQL Managed Instanceを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/adonlycreate を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 1.0.2 | |
| リソースに対する所有者アクセス許可を持つブロックされたアカウントAzure削除する必要があります | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントAzure削除する必要があります | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| 証明書には最長有効期間を指定する必要がある | キー コンテナー内での証明書の最長有効期間を指定して、組織のコンプライアンス要件を管理します。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある | カスタマー マネージド キーを使用して、レジストリのコンテンツ保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 詳細については、https://aka.ms/acr/CMK をご覧ください。 | Audit、Deny、Disabled | 1.1.2 |
| コンテナー レジストリでは無制限のネットワーク アクセスを許可しない | コンテナー レジストリAzure、既定では、任意のネットワーク上のホストからのインターネット経由の接続を受け入れます。 潜在的な脅威からレジストリを保護するには、特定のプライベート エンドポイント、パブリック IP アドレス、またはアドレス範囲のみからのアクセスを許可します。 レジストリにネットワーク規則が構成されていない場合は、異常なリソースとして表示されます。 Container Registry のネットワーク規則の詳細については、https://aka.ms/acr/privatelinkを参照してください。 | Audit、Deny、Disabled | 2.0.0 |
| コンテナー レジストリではプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 プライベート リンク プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。サービス全体ではなく、プライベート エンドポイントをコンテナー レジストリにマッピングすることで、データ漏えいのリスクからも保護されます。 詳細については、https://aka.ms/acr/private-link を参照してください。 | 監査、無効 | 1.0.1 |
| Cosmos DB データベース アカウントでは、ローカル認証方法を無効にする必要がある | ローカル認証方法を無効にすると、Cosmos DB データベース アカウントで認証にAzure Active Directory ID のみが必要とされ、セキュリティが向上します。 詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth を参照してください。 | Audit、Deny、Disabled | 1.1.0 |
| CosmosDB アカウントでプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 CosmosDB アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints を参照してください。 | 監査、無効 | 1.0.0 |
| Azure AI サービス リソース内のDiagnostic ログを有効にする必要があります | Azure AI サービス リソースのログを有効にします。 これで、セキュリティ インシデントが発生した場合やネットワークが侵害された場合に、調査目的でアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 1.0.0 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for MySQLでは、Secure Sockets Layer (SSL) を使用したクライアント アプリケーションへのAzure Database for MySQL サーバーの接続がサポートされます。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | 監査、無効 | 1.0.1 |
| PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない | Azure Database for PostgreSQLでは、Secure Sockets Layer (SSL) を使用したクライアント アプリケーションへのAzure Database for PostgreSQL サーバーの接続がサポートされます。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 | 監査、無効 | 1.0.1 |
| 関数アプリでクライアント証明書 (着信クライアント証明書) を有効にする必要がある | クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 このポリシーは、Http バージョンが 1.1 に設定されているアプリに適用されます。 | AuditIfNotExists、Disabled | 1.1.0 |
| 関数アプリではリモート デバッグをオフにする必要がある | リモート デバッグを実行するには、受信ポートが関数アプリ上で開かれている必要があります。 リモート デバッグを無効にする必要があります。 | AuditIfNotExists、Disabled | 2.1.0 |
| 関数アプリでは、すべてのリソースがアプリにアクセスできるように CORS を構成しない | クロス オリジン リソース共有 (CORS) で、関数アプリへのアクセスをすべてのドメインには許可しないでください。 関数アプリの操作に必要なドメインのみを許可します。 | AuditIfNotExists、Disabled | 2.1.0 |
| 関数アプリに HTTPS を介してのみアクセスできるようにする | HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 | 監査、無効、拒否 | 5.1.0 |
| 関数アプリでは FTPS のみが要求される必要がある | セキュリティを強化するために FTPS 強制を有効にしてください。 | AuditIfNotExists、Disabled | 3.1.0 |
| 関数アプリではマネージド ID を使用する必要がある | マネージド ID を使用して認証セキュリティを強化します | AuditIfNotExists、Disabled | 3.1.0 |
| 関数アプリは最新の TLS バージョンを使用する必要がある | セキュリティ上の欠陥への対応、機能の追加、および速度の向上のために、TLS の新しいバージョンが定期的にリリースされます。 最新の TLS バージョンにアップグレードして、関数アプリで最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるようにします。 | AuditIfNotExists、Disabled | 2.3.0 |
| Azure Database for MariaDBでは、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査、無効 | 1.0.1 | |
| Azure Database for MySQLでは、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査、無効 | 1.0.1 | |
| Azure Database for PostgreSQLでは、データベース サーバーの冗長性オプションを選択できます。 これを、geo 冗長バックアップ ストレージに設定できます。これに設定すると、データはサーバーがホストされているリージョン内に格納されるだけでなく、リージョンの障害が発生した場合に復旧オプションを提供するために、ペア リージョンにもレプリケートされます。 バックアップに対して geo 冗長ストレージを構成できるのは、サーバーの作成時だけです。 | 監査、無効 | 1.0.1 | |
| リソースに対する所有者アクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する読み取りアクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する書き込みアクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、"Windows Exploit guard を有効にする必要があります" などのゲスト内ポリシーが使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Key Vault キーには有効期限が設定されている必要があります | 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault シークレットには有効期限が設定されている必要があります | シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 | Audit、Deny、Disabled | 1.0.2 |
| キー コンテナーで削除保護を有効にする必要がある | 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 データの永久的な損失を防ぐには、消去保護と論理的な削除を有効にします。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 論理的な削除の保持期間中、組織内のユーザーやMicrosoftはキー コンテナーを消去できません。 2019 年 9 月 1 日以降に作成されたキー コンテナーでは、既定で論理的な削除が有効にされていることに注意してください。 | Audit、Deny、Disabled | 2.1.0 |
| キー コンテナーで論理的な削除が有効になっている必要がある | 論理的な削除が有効になっていない状態でキー コンテナーを削除すると、キー コンテナーに格納されているすべてのシークレット、キー、証明書が完全に削除されます。 誤ってキー コンテナーが削除されると、データが完全に失われる可能性があります。 論理的な削除を使用すると、構成可能な保有期間の間は、誤って削除されたキー コンテナーを復旧できます。 | Audit、Deny、Disabled | 3.1.0 |
| Kubernetes クラスター コンテナーの CPU およびメモリ リソースの制限は、指定された制限を超えないようにする必要がある | コンテナーの CPU とメモリ リソースの制限を適用して、Kubernetes クラスターでのリソース枯渇攻撃を防ぎます。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes クラスター コンテナーはホスト名前空間を共有しないでください | ポッド コンテナーが Kubernetes クラスター内のホスト プロセス ID 名前空間、ホスト IPC 名前空間、ホスト ネットワーク名前空間を共有できないようにします。 この推奨事項は、ホスト名前空間の Kubernetes ポッド セキュリティ標準に準拠しており、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.1、5.2.2、5.2.3 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 6.0.0 |
| コンテナーでは、Kubernetes クラスターで許可されている AppArmor プロファイルのみを使用する必要があります。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.1 | |
| Kubernetes クラスター内のコンテナーの攻撃面を縮小するために、機能を制限します。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.8 と CIS 5.2.9 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 | |
| 信頼できるレジストリのイメージを使用して、不明な脆弱性、セキュリティの問題、悪意のあるイメージに対する Kubernetes クラスターの露出リスクを削減します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 | |
| Kubernetes クラスターコンテナーは、読み取り専用のルート ファイル システムを使用して実行する必要がある | Kubernetes クラスター内のパスに悪意のあるバイナリを追加する実行時の変更から保護するために、読み取り専用のルート ファイル システムでコンテナーを実行します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes クラスター ポッドの hostPath ボリュームでは、許可されているホスト パスのみを使用する必要がある | ポッドの HostPath ボリューム マウントを、Kubernetes クラスター内の許可されているホスト パスに制限します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、有効な Kubernetes Azure Arc。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes クラスターのポッドとコンテナーは、承認されたユーザーとグループの ID のみを使用して実行する必要がある | Kubernetes クラスターでポッドとコンテナーを実行する際に使用できるユーザー、プライマリ グループ、補助グループ、およびファイル システム グループの ID を制御します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes クラスター ポッドでは、承認されたホスト ネットワークとポートの一覧のみを使用する必要がある | Kubernetes クラスター内のホスト ネットワークと許可されるホスト ポートへのポッド アクセスを制限します。 この推奨事項は、Kubernetes 環境のセキュリティを向上させることを目的とした CIS 5.2.4 の一部であり、hostPorts のポッド セキュリティ標準 (PSS) に準拠しています。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 7.0.0 |
| Kubernetes クラスター サービスでは、許可されているポートでのみリッスンする必要がある | Kubernetes クラスターへのアクセスをセキュリティで保護するために、許可されたポートでのみリッスンするようにサービスを制限します。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes クラスターで特権コンテナーを許可しない | Kubernetes クラスターでの特権コンテナーの作成を許可しません。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.1 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes クラスターは HTTPS 経由でのみアクセス可能である必要がある | HTTPS を使用すると、認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されます。 この機能は現在、Kubernetes Service (AKS) で一般公開されており、Azure Arc有効な Kubernetes ではプレビュー段階にあります。 詳細については、https://aka.ms/kubepolicydoc を参照してください。 | Audit、Deny、Disabled | 9.0.0 |
| Kubernetes クラスターで API 資格情報の自動マウントを無効にする必要がある | 侵害された可能性のある Pod リソースが Kubernetes クラスターに対して API コマンドを実行するのを防ぐために、API 資格情報の自動マウントを無効にします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes クラスターでは、コンテナーの特権エスカレーションを許可してはいけない | Kubernetes クラスターにおいて、ルートへの特権エスカレーションでのコンテナーの実行を許可しないでください。 この推奨事項は、Kubernetes 環境のセキュリティを強化することを目的とした CIS 5.2.5 の一部です。 このポリシーは、Kubernetes Service (AKS) で一般提供されており、Azure Arc有効な Kubernetes のプレビューです。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | Audit、Deny、Disabled | 8.0.0 |
| Kubernetes クラスターでは CAP_SYS_ADMIN セキュリティ機能を許可しない | コンテナーに対する攻撃面を縮小するには、Linux 機能 CAP_SYS_ADMIN を制限します。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes クラスターでは既定の名前空間を使用しない | ConfigMap、Pod、Secret、Service、および ServiceAccount という種類のリソースを無許可アクセスから保護するために、Kubernetes クラスターで既定の名前空間を使用しないようにします。 詳細については、「https://aka.ms/kubepolicydoc」を参照してください。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Linux マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.3.1 |
| 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.2.1 | |
| 不足しているシステム更新プログラムを定期的に確認するようにマシンを構成する必要がある | 不足しているシステム更新の定期的な評価を24時間ごとに自動的にトリガーするには、AssessmentMode プロパティを「AutomaticByPlatform」に設定する必要があります。 Windowsの AssessmentMode プロパティの詳細については、linux の https://aka.ms/computevm-windowspatchassessmentmode,: https://aka.ms/computevm-linuxpatchassessmentmode を参照してください。 | Audit、Deny、Disabled | 3.9.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワーク Just-In-Time (JIT) アクセスは、推奨事項としてAzure Security Centerによって監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Defender CSPMを有効にする必要があります | Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| API のMicrosoft Defenderを有効にする必要があります | API のMicrosoft Defenderにより、新しい検出、保護、検出、応答の対象範囲が提供され、一般的な API ベースの攻撃とセキュリティの構成ミスを監視できます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Microsoft Defender for Containers を有効にする必要があります | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for SQL は、保護されていない Synapse ワークスペースに対して有効にする必要があります | SQL のDefenderを有効にして、Synapse ワークスペースを保護します。 sql 用のDefenderでは、Synapse SQL を監視して、データベースへのアクセスやデータベースの悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage を有効にする必要があります | Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出します。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 ストレージの新しいDefenderプランには、マルウェア スキャンと機密データの脅威検出が含まれます。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| MySQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、MySQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| Network Watcherを有効にする必要があります | Network Watcherは、ネットワーク シナリオ レベルで、Azureとの間で条件を監視および診断できるリージョン サービスです。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 | AuditIfNotExists、Disabled | 3.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Cache for Redisへのセキュリティで保護された接続を有効にする必要があります | SSL 経由でAzure Cache for Redisへの接続のみを有効にすることを監査します。 セキュリティで保護された接続を使用することにより、サーバーとサービスの間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッションハイジャックなど) から保護します | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、PostgreSQL サーバーの保存時の暗号化を管理します。 既定では、データはサービス マネージド キーを使用して保存時に暗号化されますが、規制コンプライアンス標準を満たすには、一般にカスタマー マネージド キーが必要です。 カスタマー マネージド キーを使用すると、ユーザーが作成して所有するAzure Key Vault キーを使用してデータを暗号化できます。 ローテーションや管理など、キーのライフサイクルを完全に制御し、責任を負うことになります。 | AuditIfNotExists、Disabled | 1.0.4 |
| Azure SQL Databaseのプライベート エンドポイント接続を有効にする必要があります | プライベート エンドポイント接続では、Azure SQL Databaseへのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 | 監査、無効 | 1.1.0 |
| MariaDB サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、Azure Database for MariaDBへのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 既知のネットワークからのトラフィックのみにアクセスできるようにプライベート エンドポイント接続を構成し、Azure内を含む他のすべての IP アドレスからのアクセスを防止します。 | AuditIfNotExists、Disabled | 1.0.2 |
| MySQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、Azure Database for MySQLへのプライベート接続を有効にすることで、セキュリティで保護された通信が強制されます。 既知のネットワークからのトラフィックのみにアクセスできるようにプライベート エンドポイント接続を構成し、Azure内を含む他のすべての IP アドレスからのアクセスを防止します。 | AuditIfNotExists、Disabled | 1.0.2 |
| PostgreSQL サーバーに対してプライベート エンドポイントを有効にする必要がある | プライベート エンドポイント接続では、Azure Database for PostgreSQLへのプライベート接続を有効にすることで、セキュリティで保護された通信が適用されます。 既知のネットワークからのトラフィックのみにアクセスできるようにプライベート エンドポイント接続を構成し、Azure内を含む他のすべての IP アドレスからのアクセスを防止します。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure SQL Databaseでのパブリック ネットワーク アクセスは無効にする必要があります | パブリック ネットワーク アクセス プロパティを無効にすると、プライベート エンドポイントからのみAzure SQL Databaseにアクセスできるようにすることで、セキュリティが向上します。 この構成により、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 1.1.0 |
| MariaDB サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for MariaDBにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.0 |
| MySQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for MySQLにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが厳密に無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.0 |
| PostgreSQL サーバーでは、公衆ネットワーク アクセスを無効にする必要がある | パブリック ネットワーク アクセス プロパティを無効にしてセキュリティを強化し、プライベート エンドポイントからのみAzure Database for PostgreSQLにアクセスできるようにします。 この構成では、Azure IP 範囲外のパブリック アドレス空間からのアクセスが無効になり、IP または仮想ネットワーク ベースのファイアウォール規則に一致するすべてのログインが拒否されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストアのリソース ログAzure Data Lake有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| ワークスペースのリソース ログAzure Databricks有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Kubernetes Serviceのリソース ログを有効にする必要があります | Azure Kubernetes Serviceのリソース ログは、セキュリティ インシデントを調査するときにアクティビティ 証跡を再作成するのに役立ちます。 これを有効にして、ログが必要なときに確実に存在するようにします | AuditIfNotExists、Disabled | 1.0.0 |
| ワークスペースのリソース ログAzure Machine Learning有効にする必要があります | リソース ログにより、セキュリティ インシデントの発生時や、ネットワークがセキュリティ侵害されたときに、調査の目的に使用するアクティビティ証跡を再作成できます。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Stream Analyticsのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Batch アカウントのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Data Lake Analyticsのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| イベント ハブのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| IoT Hubのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 3.1.0 |
| Key Vaultのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Logic Apps のリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.1.0 |
| Search サービスのリソース ログを有効にする必要がある | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| Service Busのリソース ログを有効にする必要があります | リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます | AuditIfNotExists、Disabled | 5.0.0 |
| ユーザーが実行できるアクションをきめ細かくフィルター処理するには、Role-Based Access Control (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 | 監査、無効 | 1.1.0 | |
| ストレージ アカウントへの安全な転送を有効にする必要がある | ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します | Audit、Deny、Disabled | 2.0.0 |
| サービス Fabricでは、プライマリ クラスター証明書を使用したノード間通信用の 3 つのレベルの保護 (None、Sign、EncryptAndSign) が提供されます。 すべてのノード間メッセージが暗号化され、デジタル署名されるように保護レベルを設定します | Audit、Deny、Disabled | 1.1.0 | |
| Service Fabric クラスターでは、クライアント認証にのみAzure Active Directoryを使用する必要があります | サービス FabricのAzure Active Directoryを介してのみクライアント認証の使用を監査する | Audit、Deny、Disabled | 1.1.0 |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自のキーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能に対する透明性と制御が向上し、HSM ベースの外部サービスによるセキュリティが強化され、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL Server が確実に保護されるようにするには、SQL を対象とするAzure監視エージェントが自動的にデプロイされるように構成されていることを確認します。 これは、Microsoft Monitoring Agent の自動プロビジョニングを以前に構成している場合にも必要です。これは、そのコンポーネントが非推奨になっている場合です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある | 独自のキーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性と制御が向上し、HSM ベースの外部サービスによるセキュリティが強化され、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 | Audit、Deny、Disabled | 2.0.1 |
| ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある | インシデント調査の目的で、ストレージ アカウントの宛先に対するSQL Serverの監査のデータ保持期間を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| ストレージ アカウントのパブリック アクセスを禁止する必要がある | Azure Storage内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するのに便利な方法ですが、セキュリティ 上のリスクが発生する可能性があります。 望ましくない匿名アクセスによって発生するデータ侵害を防ぐために、Microsoftは、シナリオで必要な場合を除き、ストレージ アカウントへのパブリック アクセスを防止することをお勧めします。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.1 |
| Storage アカウントは新しいAzure Resource Manager リソースに移行する必要があります | ストレージ アカウントの新しいAzure Resource Managerを使用して、セキュリティの強化 (強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureセキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、共有キーのアクセスを禁止する必要がある | ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 | Audit、Deny、Disabled | 2.0.0 |
| ストレージ アカウントで共有キーへのアクセスを禁止する必要がある (Databricks によって作成されたストレージ アカウントを除く) | ストレージ アカウントの要求を承認するためのAzure Active Directory (Azure AD) の監査要件。 既定では、要求は、Azure Active Directory資格情報を使用するか、共有キーの承認にアカウント アクセス キーを使用して承認できます。 この 2 種類の承認のうち、Azure AD は共有キーよりも優れたセキュリティと使いやすさを提供し、Microsoftが推奨します。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントではネットワーク アクセスを制限する必要があります | ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 特定のインターネットまたはオンプレミスのクライアントからの接続を許可するには、特定のAzure仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲へのアクセスを許可できます。 | Audit、Deny、Disabled | 1.1.1 |
| ストレージ アカウントは、仮想ネットワーク ルールを使用してネットワーク アクセスを制限する必要がある | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.1 |
| ストレージ アカウントでは、仮想ネットワーク規則を使用してネットワーク アクセスを制限する必要がある (Databricks によって作成されたストレージ アカウントを除く) | IP ベースのフィルター処理の代わりに、推奨される方法として仮想ネットワーク規則を使用して、ストレージ アカウントを潜在的な脅威から保護します。 IP ベースのフィルター処理を無効にすると、パブリック IP がストレージ アカウントにアクセスできなくなります。 | Audit、Deny、Disabled | 1.0.0 |
| ストレージ アカウントでは、暗号化にカスタマー マネージド キーを使用する必要がある | カスタマー マネージド キーを使用して、より柔軟に BLOB とファイル ストレージ アカウントをセキュリティで保護します。 カスタマー マネージド キーを指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 カスタマー マネージド キーを使用すると、キー暗号化キーのローテーションを制御したり、データを暗号的に消去したりするための追加機能が提供されます。 | 監査、無効 | 1.0.3 |
| ストレージ アカウントではプライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 2.0.0 |
| ストレージ アカウントではプライベート リンクを使用する必要がある (Databricks によって作成されたストレージ アカウントを除く) | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 ストレージ アカウントにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが削減されます。 プライベート リンクの詳細については、https://aka.ms/azureprivatelinkoverview を参照してください。 | AuditIfNotExists、Disabled | 1.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、サブネットへのネットワーク トラフィックを許可または拒否する Access Control リスト (ACL) 規則の一覧が含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| Synapse ワークスペースでは、Microsoft Entra専用認証が有効になっている必要があります | Synapse ワークスペースでMicrosoft Entra専用認証を使用する必要があります。 このポリシーでは、ローカル認証が有効なワークスペースが作成されることは防げません。 これは、作成後にリソースでローカル認証が有効になるのを防ぎます。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse ワークスペースでは、ワークスペースの作成時に認証にMicrosoft Entra ID のみを使用する必要があります | Microsoft Entra専用認証を使用して Synapse ワークスペースを作成する必要があります。 このポリシーでは、作成後にリソースでローカル認証が再び有効化されることは防げません。 両方を要求するには、代わりに "Microsoft Entra専用認証" イニシアチブを使用することを検討してください。 詳細については、https://aka.ms/Synapse を参照してください。 | Audit、Deny、Disabled | 1.2.0 |
| システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| SQL データベースTransparent Data Encryptionを有効にする必要があります | 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります | AuditIfNotExists、Disabled | 2.0.0 |
| 仮想マシンおよび仮想マシン スケール セットでは、ホストでの暗号化が有効になっている必要がある | ホストで暗号化を使用して、仮想マシンと仮想マシン スケール セットのデータのためのエンドツーエンドの暗号化を取得します。 ホストでの暗号化を使用すると、一時ディスクと OS およびデータ ディスクのキャッシュの保存時の暗号化が有効になります。 ホストでの暗号化が有効になっている場合、一時およびエフェメラル OS ディスクはプラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクで選択された暗号化の種類に応じて、カスタマー マネージドまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 詳細については、https://aka.ms/vm-hbe をご覧ください。 | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンは新しいAzure Resource Manager リソースに移行する必要があります | 仮想マシンの新しいAzure Resource Managerを使用して、より強力なアクセス制御 (RBAC)、監査の強化、Azure Resource Managerベースのデプロイとガバナンス、マネージド ID へのアクセス、シークレットのキー コンテナーへのアクセス、Azureなどのセキュリティ強化を提供します。セキュリティ管理を容易にするタグとリソース グループに対する AD ベースの認証とサポート | Audit、Deny、Disabled | 1.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内のAzure仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がない場合は非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
| VM Image Builder テンプレートでは、プライベート リンクを使用する必要がある | Azure Private Linkでは、ソースまたは宛先にパブリック IP アドレスを指定せずに、仮想ネットワークを Azure サービスに接続できます。 Private Link プラットフォームは、Azureバックボーン ネットワーク経由でコンシューマーとサービス間の接続を処理します。 VM Image Builder の構築リソースにプライベート エンドポイントをマッピングすることで、データ漏えいのリスクが軽減されます。 プライベート リンクの詳細については、https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet を参照してください。 | 監査、無効、拒否 | 1.1.0 |
| VPN ゲートウェイでは、ポイント対サイト ユーザーに対してAzure Active Directory (Azure AD) 認証のみを使用する必要があります | ローカル認証方法を無効にすると、VPN ゲートウェイで認証にAzure Active Directory ID のみが使用されるようにすることで、セキュリティが向上します。 Azure AD 認証の詳細については、https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit、Deny、Disabled | 1.0.0 |
| 定期的な脆弱性評価スキャンが有効になっていない各SQL Managed Instanceを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 1.0.1 | |
| 脆弱性評価を SQL サーバー上で有効にする必要がある | 脆弱性評価が適切に構成されていないAzure SQLサーバーを監査します。 脆弱性評価は、潜在的なデータベースの脆弱性を検出、追跡、および修正するのに役立ちます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Application Gateway で Web Application Firewall (WAF) を有効にする必要があります | 着信トラフィックの追加検査のために、パブリックに公開されている Web アプリケーションの前に Azure Web Application Firewall (WAF) をデプロイします。 Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、ローカルおよびリモートのファイル実行などの一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 また、カスタム ルールを使用して、国、IP アドレス範囲、およびその他の HTTP(S) パラメーターによって Web アプリケーションへのアクセスを制限することもできます。 | Audit、Deny、Disabled | 2.0.0 |
| Windows Defender Exploit Guard をマシンで有効にする必要があります | Exploit Guard Windows Defenderは、Azure Policy ゲスト構成エージェントを使用します。 Exploit Guard には、さまざまな攻撃ベクトルに対してデバイスをロックダウンし、マルウェア攻撃で一般的に使用される動作をブロックするように設計された 4 つのコンポーネントがあり、企業はセキュリティ リスクと生産性の要件のバランスを取ることができます (Windowsのみ)。 | AuditIfNotExists、Disabled | 2.0.0 |
| Windowsコンピューターは、セキュリティで保護された通信プロトコルを使用するように構成する必要があります | インターネット経由で通信される情報のプライバシーを保護するために、お客様のマシンでは、業界標準の暗号化プロトコルであるトランスポート層セキュリティ (TLS) の最新バージョンを使う必要があります。 TLS を使うと、マシン間の接続が暗号化されることで、ネットワーク経由の通信がセキュリティで保護されます。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windows マシンは、Azure コンピューティング セキュリティ ベースラインの要件を満たしている必要があります | 前提条件がポリシーの割り当てスコープにデプロイされていることが要求されます。 詳細については、 https://aka.ms/gcpol を参照してください。 コンピューターが、Azureコンピューティング セキュリティ ベースラインのいずれかの推奨事項に対して正しく構成されていない場合、マシンは非準拠です。 | AuditIfNotExists、Disabled | 2.1.1 |
| 仮想マシンの OS ディスクとデータ ディスクは、プラットフォーム マネージド キーを使用して、既定で保存時に暗号化されますが、リソース ディスク (一時ディスク)、データ キャッシュ、コンピューティング リソースとストレージ リソースの間で送信されるデータは暗号化されません。 修復するには、Azure Disk Encryptionまたは EncryptionAtHost を使用します。 暗号化オファリングを比較するには、https://aka.ms/diskencryptioncomparison にアクセスしてください。 このポリシーは、そのポリシー割り当てスコープに 2 つの前提条件がデプロイされている必要があります。 詳細については、 https://aka.ms/gcpol を参照してください。 | AuditIfNotExists、Disabled | 1.1.1 |
Microsoft Defender for Cloud カテゴリ
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [プレビュー]: ChangeTracking 拡張機能を Linux Arc マシンにインストールする必要がある | Linux Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能を Linux 仮想マシンにインストールする必要がある | Linux 仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能は、Windows Arc コンピューターにインストールする必要があります | Windows Arc マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: ChangeTracking 拡張機能は、Windows仮想マシンにインストールする必要があります | Windows仮想マシンに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [プレビュー]: 仮想マシンで SQL エージェントのAzure Defenderを構成します | Azure Monitor エージェントがインストールWindows SQL エージェントのAzure Defenderを自動的にインストールするようにマシンを構成します。 Security Center では、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 サポートされている場所にターゲット仮想マシンが存在する必要があります。 | DeployIfNotExists、無効 | 1.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシン スケール セットを構成する | サポートされている Linux 仮想マシン スケール セットを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 6.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするように、サポートされている Linux 仮想マシンを構成する | ブート チェーンに対する悪意のある変更や許可されていない変更を減らすために、サポートしている Linux 仮想マシンを構成してセキュア ブートを自動的に有効にするようにします。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、無効 | 5.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能を自動的にインストールするように、サポートされている Linux 仮想マシンを構成する | サポートされている Linux 仮想マシンを構成してゲスト構成証明拡張機能を自動的にインストールし、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 7.1.0-preview |
| [プレビュー]: vTPM を自動的に有効にするように、サポートされている仮想マシンを構成する | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、vTPM を自動的に有効にするように、サポートされている仮想マシンを構成します。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 | DeployIfNotExists、無効 | 2.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成します | ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシン スケール セットを構成して、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 4.1.0-preview |
| [プレビュー]: セキュア ブートを自動的に有効にするようにサポートされているWindows仮想マシンを構成します | セキュア ブートを自動的に有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減するように、サポートされているWindows仮想マシンを構成します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 | DeployIfNotExists、無効 | 3.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能を自動的にインストールするようにサポートされているWindows仮想マシンを構成します | ゲスト構成証明拡張機能を自動的にインストールするように、サポートされているWindows仮想マシンを構成して、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 5.1.0-preview |
| [プレビュー]: Shared Image Gallery イメージで作成された VM を構成して、ゲスト構成証明拡張機能をインストールします | Shared Image Gallery イメージで作成された仮想マシンを構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に構成および監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 2.0.0-preview |
| [プレビュー]: Shared Image Gallery イメージで作成された VMSS を構成して、ゲスト構成証明拡張機能をインストールします | Shared Image Gallery イメージで作成された VMSS を構成し、ゲスト構成証明拡張機能を自動的にインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 リモート構成証明により、ブートの整合性が証明されます。 | DeployIfNotExists、無効 | 2.1.0-preview |
| [プレビュー]: Linux ハイブリッド マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | Linux ハイブリッド マシンMicrosoft Defender for Endpointエージェントをデプロイする | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Linux 仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | 該当する Linux VM イメージMicrosoft Defender for Endpointエージェントをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [プレビュー]: Windows Azure Arc マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | Windows Azure Arc マシンにMicrosoft Defender for Endpointをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: Windows仮想マシンにMicrosoft Defender for Endpoint エージェントをデプロイします | 該当するWindows VM イメージにMicrosoft Defender for Endpointをデプロイします。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシンにインストールされている必要がある | サポートされている Linux 仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [プレビュー]: ゲスト構成証明の拡張機能が、サポートされている Linux 仮想マシン スケール セットにインストールされている必要がある | サポートされている Linux 仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、トラステッド起動と機密の Linux 仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシンにインストールする必要があります | サポートされている仮想マシンにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に構成証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [プレビュー]: ゲスト構成証明拡張機能は、サポートされているWindows仮想マシン スケール セットにインストールする必要があります | サポートされている仮想マシン スケール セットにゲスト構成証明拡張機能をインストールして、Azure Security Centerが起動の整合性を事前に証明して監視できるようにします。 インストール後は、リモート構成証明を通じて、ブート整合性の構成証明が行われるようになります。 この評価は、信頼された起動と機密Windows仮想マシン スケール セットに適用されます。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [プレビュー]: Linux 仮想マシンでは、署名された信頼できるブート コンポーネントのみを使用する必要がある | すべての OS ブート コンポーネント (ブート ローダー、カーネル、カーネル ドライバー) は、信頼された発行元によって署名されている必要があります。 Defender for Cloudは、1 つ以上の Linux マシンで信頼されていない OS ブート コンポーネントを特定しました。 悪意のある可能性のあるコンポーネントからコンピューターを保護するには、それらを許可リストに追加するか、特定されたコンポーネントを削除します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: Linux 仮想マシンではセキュア ブートを使用する必要がある | マルウェアベースのルートキットおよびブート キットのインストールから保護するために、サポートされている Linux 仮想マシンでセキュア ブートを有効にします。 セキュア ブートにより、署名されたオペレーティング システムとドライバーのみを確実に実行できるようになります。 この評価は、Azure Monitor エージェントがインストールされている Linux 仮想マシンにのみ適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: マシンでは、攻撃ベクトルが公開されるおそれのあるポートを閉じる必要がある | Azureの利用規約は、Microsoftサーバーまたはネットワークに損害を与えたり、無効にしたり、過剰に負担したり、損なったりする可能性のある方法でAzureサービスを使用することを禁止します。 このレコメンデーションによって識別される公開ポートは、継続的なセキュリティのために閉じる必要があります。 特定されたポートごとに、レコメンデーションでは潜在的な脅威の説明も示します。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: サポートされているWindows仮想マシンでセキュア ブートを有効にする必要があります | サポートされているWindows仮想マシンでセキュア ブートを有効にして、ブート チェーンに対する悪意のある未承認の変更を軽減します。 有効にすると、信頼されたブートローダー、カーネル、カーネル ドライバーのみ実行が許可されます。 この評価は、信頼された起動と機密Windows仮想マシンに適用されます。 | 監査、無効 | 4.0.0-preview |
| [プレビュー]: 仮想マシンのゲスト構成証明の状態は正常である必要がある | ゲスト構成証明は、信頼されているログ (TCGLog) を構成証明サーバーに送信することによって実行されます。 このサーバーでこれらのログが使用されて、ブート コンポーネントが信頼できるかどうかが判断されます。 この評価は、ブートキットまたはルートキットの感染結果である可能性があるブート チェーンのセキュリティ侵害を検出するためのものです。 この評価は、ゲスト構成証明の拡張機能がインストールされている、トラステッド起動が有効な仮想マシンのみに適用されます。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [プレビュー]: vTPM はサポートされている仮想マシンで有効にする必要がある | メジャー ブートなど、TPM を必要とする OS セキュリティ機能を支援するために、サポートされている仮想マシンで仮想 TPM デバイスを有効にします。 有効にすると、vTPM を使用してブート整合性の構成証明を行うことができます。 この評価が適用されるのは、トラステッド起動が有効な仮想マシンのみです。 | 監査、無効 | 2.0.0-preview |
| サブスクリプションには最大 3 人の所有者を指定する必要がある | セキュリティ侵害を受けたサブスクリプション所有者が侵害を引き起こす可能性を下げるため、指定する所有者は最大 3 人までにすることをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| 脆弱性評価ソリューションを仮想マシンで有効にする必要がある | 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Centerの Standard 価格レベルには、追加コストなしで仮想マシンの脆弱性スキャンが含まれます。 また、Security Center では、このツールを自動的にデプロイできます。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンに関連付けられたネットワーク セキュリティ グループでは、すべてのネットワーク ポートを制限する必要がある | Azure Security Centerでは、ネットワーク セキュリティ グループの受信規則の一部が制限されすぎていることが確認されています。 受信規則では、"Any" または "Internet" の範囲からのアクセスを許可しないでください。 これにより、攻撃者がお使いのリソースをターゲットにできる可能性があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure API ManagementのAPI エンドポイントは認証する必要があります | Azure API Management内で発行された API エンドポイントは、セキュリティ リスクを最小限に抑えるために認証を適用する必要があります。 認証メカニズムは正しく実装されていない場合や欠落している場合があります。 この場合、攻撃者が実装の欠陥を悪用し、データにアクセスできてしまいます。 OWASP API Threat for Broken ユーザー認証 の詳細については、こちらを参照してください: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 使用されていない API エンドポイントは無効にして、Azure API Management サービスから削除する必要があります | セキュリティのベスト プラクティスとして、30 日間トラフィックを受信していない API エンドポイントは未使用と見なされ、Azure API Management サービスから削除する必要があります。 未使用の API エンドポイントを保持すると、組織にセキュリティ上のリスクが発生する可能性があります。 これらは、Azure API Management サービスから非推奨とされているはずの API ですが、誤ってアクティブなままになっている可能性があります。 通常、このような API は最新のセキュリティ カバレッジの対象になりません。 | AuditIfNotExists、Disabled | 1.0.1 |
| WINDOWS SQL 仮想マシンにシステム割り当て ID を大規模に割り当てます。 | DeployIfNotExists、無効 | 1.0.0 | |
| Kubernetes Services では、許可する IP の範囲を定義する必要があります | Kubernetes Service Management API へのアクセスは、特定の範囲の IP にのみ API アクセスに許可して制限する必要があります。 許可されたネットワークのアプリケーションのみがクラスターにアクセスできるよう、許可する IP 範囲にアクセスを制限することをお勧めします。 | 監査、無効 | 2.0.1 |
| Azure DDoS Protection を有効にする必要があります | パブリック IP を持つアプリケーション ゲートウェイの一部であるサブネットを含むすべての仮想ネットワークに対して DDoS Protection を有効にする必要があります。 | AuditIfNotExists、Disabled | 3.0.1 |
| App Service Azure Defender を有効にする必要があります | App Service のAzure Defenderでは、クラウドの規模と、クラウド プロバイダーとしてAzureが持つ可視性を活用して、一般的な Web アプリ攻撃を監視します。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure SQL Database サーバーのAzure Defenderを有効にする必要があります | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | AuditIfNotExists、Disabled | 1.0.2 |
| Key VaultのAzure Defenderを有効にする必要があります | Key VaultのAzure Defenderは、通常とは異なる、有害な可能性のあるアカウントへのアクセスや悪用の試行を検出することで、保護とセキュリティ インテリジェンスkey vault追加のレイヤーを提供します。 | AuditIfNotExists、Disabled | 1.0.3 |
| オープン ソース リレーショナル データベースのAzure Defenderを有効にする必要があります | オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| Resource ManagerのAzure Defenderを有効にする必要があります | Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| サーバーのAzure Defenderを有効にする必要があります | サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 | AuditIfNotExists、Disabled | 1.0.3 |
| マシン上の SQL サーバーのAzure Defenderを有効にする必要があります | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure Defender for SQL は、保護されていない MySQL フレキシブル サーバーに対して有効にする必要があります | Advanced Data Security を使用していない MySQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Defender for SQL は、保護されていない PostgreSQL フレキシブル サーバーに対して有効にする必要があります | Advanced Data Security を使用していない PostgreSQL フレキシブル サーバーを監査します | AuditIfNotExists、Disabled | 1.0.0 |
| Azureレジストリ コンテナー イメージに脆弱性が解決されている必要があります (Microsoft Defender 脆弱性の管理を利用) | コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 脆弱性を解決すると、セキュリティ態勢が大幅に向上し、デプロイ前にイメージが安全に使用できるようになります。 | AuditIfNotExists、Disabled | 1.0.1 |
| コンテナー イメージの脆弱性評価では、レジストリをスキャンして一般的な脆弱性 (CVE) を調べ、各イメージの詳細な脆弱性レポートを提供します。 この推奨事項により、Kubernetes クラスターで実行中の脆弱なイメージが可視化されます。 実行中のコンテナー イメージの脆弱性を修復することは、セキュリティ体制を改善し、コンテナー化されたワークロードの攻撃対象領域を大幅に縮小するうえで重要です。 | AuditIfNotExists、Disabled | 1.0.1 | |
| リソースに対する所有者アクセス許可を持つブロックされたアカウントAzure削除する必要があります | 所有者としてのアクセス許可を持つ非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する読み取りおよび書き込みアクセス許可を持つブロックされたアカウントAzure削除する必要があります | 非推奨のアカウントは、サブスクリプションから削除する必要があります。 非推奨のアカウントは、サインインがブロックされているアカウントです。 | AuditIfNotExists、Disabled | 1.0.0 |
| ChangeTracking 拡張機能を Linux 仮想マシン スケール セットにインストールする必要がある | Linux 仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイル整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.1 |
| ChangeTracking 拡張機能は、Windows仮想マシン スケール セットにインストールする必要があります | Windows仮想マシン スケール セットに ChangeTracking 拡張機能をインストールして、Azure Security Centerでファイルの整合性監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitoring Agent でサポートされている仮想マシンと場所にインストールできます。 | AuditIfNotExists、Disabled | 2.0.1 |
| Cloud Services (拡張サポート) ロール インスタンスを安全に構成する必要がある | OS の脆弱性にさらされていないことを確認して、Cloud Services (延長サポート) ロール インスタンスを攻撃から保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Cloud Services (延長サポート) ロール インスタンスでは、システム更新プログラムがインストールされている必要がある | 最新のセキュリティ更新プログラムと重要な更新プログラムがインストールされていることを確認して、Cloud Services (延長サポート) ロール インスタンスをセキュリティで保護します。 | AuditIfNotExists、Disabled | 1.0.0 |
| MySQL フレキシブル サーバーのデータベースで有効にする構成高度な脅威保護 Azureします | MySQL フレキシブル サーバーの Azure データベースで高度な脅威保護を有効にして、データベースへのアクセスまたは悪用を試みる異常で有害な可能性のある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists、無効 | 1.0.0 |
| PostgreSQL フレキシブル サーバー Azureデータベースで構成高度な脅威保護を有効にする | PostgreSQL フレキシブル サーバー用の Azure データベースで高度な脅威保護を有効にして、データベースへのアクセスまたは悪用を試みる異常で有害な可能性のある試行を示す異常なアクティビティを検出します。 | DeployIfNotExists、無効 | 1.1.0 |
| エージェントを自動的にインストールするための Arc 対応 SQL Server の構成Azure Monitor | Windows Arc 対応 SQL Server での Azure Monitor Agent 拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、無効 | 1.3.0 |
| arc 対応 SQL Server Windows構成して、SQL エージェントのMicrosoft Defenderを自動的にインストールします。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、無効 | 1.2.0 | |
| Log Analytics ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするように Arc 対応 SQL Server を構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 | DeployIfNotExists、無効 | 1.6.0 |
| ユーザー定義の LA ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするように Arc 対応 SQL Server を構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、無効 | 1.8.0 |
| データ収集規則の関連付けを使用した Arc 対応 SQL Server の SQL DCR のMicrosoft Defenderの構成 | Arc 対応 SQL Server と SQL DCR のMicrosoft Defenderの間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、無効 | 1.1.0 |
| データ収集規則の関連付けを使用して Arc 対応 SQL Server を構成し、SQL ユーザー定義 DCR をMicrosoft Defenderします | Arc 対応 SQL Server と SQL ユーザー定義 DCR のMicrosoft Defender間の関連付けを構成します。 この関連付けを削除すると、この Arc 対応 SQL Server のセキュリティの脆弱性の検出が中断されます。 | DeployIfNotExists、無効 | 1.3.0 |
| App Service を有効にするための構成Azure Defender | App Service のAzure Defenderでは、クラウドの規模と、クラウド プロバイダーとしてAzureが持つ可視性を活用して、一般的な Web アプリ攻撃を監視します。 | DeployIfNotExists、無効 | 1.0.1 |
| データベースを有効にするAzure SQLの構成Azure Defender | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | DeployIfNotExists、無効 | 1.0.1 |
| オープンソース リレーショナル データベースの構成Azure Defenderを有効にする | オープン ソースのリレーショナル データベースのAzure Defenderは、データベースにアクセスしたりデータベースを悪用したりしようとする、通常とは異なる、害を及ぼす可能性のある試行を示す異常なアクティビティを検出します。 オープンソース リレーショナル データベースのAzure Defenderの機能の詳細については、https://aka.ms/AzDforOpenSourceDBsDocu を参照してください。 重要: このプランを有効にすると、オープンソース リレーショナル データベースを保護するための料金が発生します。 料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、無効 | 1.0.0 |
| 有効にするResource Managerの構成Azure Defender | Resource ManagerのAzure Defenderは、組織内のリソース管理操作を自動的に監視します。 Azure Defenderは、疑わしいアクティビティに関する脅威とアラートを検出します。 Resource ManagerのAzure Defenderの機能の詳細については、https://aka.ms/defender-for-resource-manager を参照してください。 このAzure Defenderプランを有効にすると、料金が発生します。 リージョンごとの料金の詳細については、Security Center の価格に関するページを参照してください: https://aka.ms/pricing-security-center。 | DeployIfNotExists、無効 | 1.1.0 |
| サーバーを有効にする構成Azure Defender | サーバーのAzure Defenderは、サーバー ワークロードに対してリアルタイムの脅威保護を提供し、セキュリティ強化に関する推奨事項と、疑わしいアクティビティに関するアラートを生成します。 | DeployIfNotExists、無効 | 1.0.1 |
| マシン上の SQL サーバーのAzure Defenderを有効にする構成 | Azure Defender for SQL には、潜在的なデータベースの脆弱性の検出と軽減、SQL データベースに対する脅威を示す異常なアクティビティの検出、機密データの検出と分類を行うための機能が用意されています。 | DeployIfNotExists、無効 | 1.0.1 |
| ストレージを有効にする基本的なMicrosoft Defenderを構成する (アクティビティ監視のみ) | Microsoft Defender for Storage では、ストレージ アカウントのAzureネイティブの脅威検出が提供されます。 このポリシーにより、基本的な機能 (アクティビティの監視) が有効になります。 マルウェア スキャンや機密データの検出など、完全な保護を行うには、aka.ms/DFStoragePolicy を使用します。 メジャー バージョンの更新: PerTransaction は、2025 年 2 月 5 日以降、新しい有効化ではサポートされなくなりました。 それを使用する既存のアカウントは引き続きサポートされます。 詳細情報: aka.ms/DF-Storage/NewPlanMigration。 | DeployIfNotExists、無効 | 2.0.0 |
| Linux Arc マシン用に ChangeTracking 拡張機能を構成する | Azure Security Centerでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux Arc マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.1.0 |
| Linux 仮想マシン スケール セットの ChangeTracking 拡張機能を構成する | Azure Security Centerでファイルの整合性の監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシン スケール セットを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.1.0 |
| Linux 仮想マシンの ChangeTracking 拡張機能を構成する | Azure Security Centerでファイルの整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように Linux 仮想マシンを構成します。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.2.0 |
| Windows Arc マシン用の ChangeTracking 拡張機能の構成 | Windows Arc マシンを構成して ChangeTracking 拡張機能を自動的にインストールし、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.1.0 |
| 仮想マシン スケール セットの ChangeTracking 拡張機能Windows構成します | ChangeTracking 拡張機能Windows自動的にインストールされるように仮想マシン スケール セットを構成し、Azure Security Centerでファイルの整合性の監視 (FIM) を有効にします。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.1.0 |
| Windows 仮想マシン用の ChangeTracking 拡張機能の構成 | Windowsでファイル整合性監視 (FIM) を有効にするために ChangeTracking 拡張機能を自動的にインストールするように仮想マシンを構成Azure Security Center。 FIM は、オペレーティング システム ファイル、Windows レジストリ、アプリケーション ソフトウェア、Linux システム ファイルなどを調べて、攻撃を示す可能性のある変更を確認します。 拡張機能は、Azure Monitor エージェントでサポートされている仮想マシンと場所にインストールできます。 | DeployIfNotExists、無効 | 2.2.0 |
| 脆弱性評価プロバイダーを受け取るようにマシンを構成する | Azure Defenderには、追加料金なしでコンピューターの脆弱性スキャンが含まれます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。 このポリシーを有効にすると、Azure Defenderによって Qualys 脆弱性評価プロバイダーが、まだインストールされていないサポートされているすべてのマシンに自動的に展開されます。 | DeployIfNotExists、無効 | 4.0.0 |
| Microsoft Defender CSPM プランの構成 | Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 | DeployIfNotExists、無効 | 1.0.0 |
| 有効にする Microsoft Defender CSPMを構成する | Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 | DeployIfNotExists、無効 | 1.0.2 |
| 有効にするAzure Cosmos DBの構成Microsoft Defender | Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出する、Azureネイティブのセキュリティ層です。 Azure Cosmos DBのDefenderは、潜在的な SQL インジェクション、Microsoft脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、および侵害された ID または悪意のある内部関係者によるデータベースの潜在的な悪用を検出します。 | DeployIfNotExists、無効 | 1.0.0 |
| コンテナーの構成Microsoft Defenderプラン | Defender for Containers プランには新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、無効 | 1.5.0 |
| コンテナーの構成Microsoft Defenderを有効にする | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 | DeployIfNotExists、無効 | 1.0.1 |
| Microsoft Defender for Cloud との統合設定Microsoft Defender for Endpoint構成 (WDATP_EXCLUDE_LINUX...) | Linux サーバーの MDE の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX_...とも呼ばれます) 内で、Microsoft Defender for Endpoint統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、無効 | 1.0.0 |
| Windows Server 2012R2 および 2016 の MDE Unified Agent の自動プロビジョニングを有効にするために、Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION とも呼ばれます) 内でMicrosoft Defender for Endpoint統合設定を構成します。 この設定を適用するには、WDATP 設定を有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、無効 | 1.0.0 | |
| MMA を介して MDE にオンボードされたWindowsダウンレベル マシンのMicrosoft Defender for Cloud (WDATP とも呼ばれます) 内で、Microsoft Defender for Endpoint統合設定を構成し、Windows Server 2019 での MDE の自動プロビジョニングを行います。Virtual Desktop 以降をWindowsします。 他の設定 (WDATP_UNIFIED など) を動作させるには、有効にする必要があります。 詳細については、「https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint」を参照してください。 | DeployIfNotExists、無効 | 1.0.0 | |
| Key Vault プランの構成Microsoft Defender | Key Vault用のMicrosoft Defenderは、通常とは異なる、害を及ぼす可能性のあるkey vaultアカウントへのアクセスまたは悪用の試行を検出することで、保護とセキュリティ インテリジェンスの追加レイヤーを提供します。 | DeployIfNotExists、無効 | 1.1.0 |
| サーバーの構成Microsoft Defenderプラン | Defender for Servers には新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、無効 | 1.0.0 |
| サーバーの構成Microsoft Defenderプラン (P1 または P2) | 選択したサーバー サブプラン (P1 または P2) のMicrosoft Defenderがサブスクリプション レベルで有効になっていることを確認します。 このポリシーは、パラメーターによる動的選択をサポートし、まだ構成されていない場合はデプロイを強制します。 | DeployIfNotExists、無効 | 1.1.0 |
| Synapse ワークスペースで SQL を有効にする構成Microsoft Defender | Azure Synapse ワークスペースで SQL のMicrosoft Defenderを有効にして、SQL データベースへのアクセスまたは悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 | DeployIfNotExists、無効 | 1.0.0 |
| ストレージの構成Microsoft Defenderを有効にする | Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出するセキュリティ インテリジェンスのAzureネイティブ レイヤーです。 このポリシーにより、ストレージ機能のすべてのDefenderが有効になります。アクティビティの監視、マルウェア スキャン、機密データの脅威検出。 ストレージの機能と利点のDefenderの詳細については、aka.ms/DefenderForStorage を参照してください。 | DeployIfNotExists、無効 | 1.5.0 |
| AI Services の脅威保護Microsoft Defender構成 | AI サービスの脅威保護に新しい機能が継続的に追加されており、ユーザーの明示的な有効化が必要になる場合があります。 このポリシーを使用すると、すべての新機能が確実に有効になります。 | DeployIfNotExists、無効 | 1.1.0 |
| Azure Monitor エージェントを自動的にインストールするための SQL Virtual Machinesの構成 | Windows SQL Virtual MachinesでのAzure Monitor エージェント拡張機能のデプロイを自動化します。 詳細については、https://aka.ms/AMAOverview を参照してください。 | DeployIfNotExists、無効 | 1.6.0 |
| SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、無効 | 1.6.0 | |
| LOG ANALYTICS ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループ、データ収集規則、Log Analytics ワークスペースを作成します。 | DeployIfNotExists、無効 | 1.9.0 |
| ユーザー定義の LA ワークスペースを使用して SQL と DCR のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 ユーザー定義のLog Analytics ワークスペースと同じリージョンにリソース グループとデータ収集ルールを作成します。 | DeployIfNotExists、無効 | 1.10.0 |
| SQL 拡張機能のMicrosoft Defenderを自動的にインストールするための SQL Virtual Machinesの構成 | SQL 拡張機能Windows Microsoft Defenderを自動的にインストールするように SQL Virtual Machinesを構成します。 sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 | DeployIfNotExists、無効 | 1.0.0 |
| SQL Log Analytics ワークスペースのMicrosoft Defenderを構成します | sql のMicrosoft Defenderは、エージェントからイベントを収集し、それらを使用してセキュリティ アラートと調整されたセキュリティ強化タスク (推奨事項) を提供します。 マシンと同じリージョンにリソース グループとLog Analyticsワークスペースを作成します。 | DeployIfNotExists、無効 | 1.5.0 |
| 組み込みのユーザー割り当てマネージド ID を作成して割り当てる | 組み込みのユーザー割り当てマネージド ID の作成と SQL 仮想マシンへの割り当てを大規模に行います。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.8.0 |
| Deploy - Azure Security Center アラートの抑制ルールを構成します | Azure Security Centerアラートを抑制し、管理グループまたはサブスクリプションに抑制ルールをデプロイすることでアラートの疲労を軽減します。 | deployIfNotExists | 1.0.0 |
| Microsoft Defender for Cloud データの信頼されたサービスとして Event Hub にエクスポートをデプロイします | Microsoft Defender for Cloud データの信頼できるサービスとして Event Hub へのエクスポートを有効にします。 このポリシーを使用すると、信頼されているサービスとしてのイベント ハブへのエクスポート構成がデプロイされ、条件と対象イベント ハブは割り当てられたスコープに設定されます。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | DeployIfNotExists、無効 | 1.0.0 |
| Microsoft Defender for Cloud データの Event Hub へのエクスポートをデプロイします | Microsoft Defender for Cloud データの Event Hub へのエクスポートを有効にします。 このポリシーは、割り当てられたスコープに対する条件とターゲット イベント ハブを使用して、イベント ハブ構成へのエクスポートをデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.2.0 |
| データをMicrosoft Defender for CloudするためにLog Analyticsワークスペースにエクスポートをデプロイします | Microsoft Defender for Cloud データのワークスペースLog Analyticsエクスポートを有効にします。 このポリシーでは、割り当てられたスコープの条件とターゲット ワークスペースを使用して、Log Analyticsワークスペース構成にエクスポートを展開します。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 4.1.0 |
| Microsoft Defender for Cloud アラートにワークフローオートメーションをデプロイする | Microsoft Defender for Cloudアラートの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| Microsoft Defender for Cloudの推奨事項にワークフローオートメーションをデプロイする | Microsoft Defender for Cloud推奨事項の自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| 規制コンプライアンスをMicrosoft Defender for Cloudするためのワークフロー自動化のデプロイ | Microsoft Defender for Cloud規制コンプライアンスの自動化を有効にします。 このポリシーは、割り当てられたスコープに対する条件とトリガーを使用して、ワークフローの自動化をデプロイします。 新しく作成されたサブスクリプションにこのポリシーをデプロイするには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 5.0.1 |
| 重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 | AuditIfNotExists、Disabled | 1.2.0 |
| サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある | サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 | AuditIfNotExists、Disabled | 2.1.0 |
| サブスクリプションでMicrosoft Defender for Cloudを有効にする | Microsoft Defender for Cloudによって監視されていない既存のサブスクリプションを識別し、Defender for Cloudの無料機能で保護します。 既に監視されているサブスクリプションは、"準拠している" と見なされます。 新しく作成されたサブスクリプションを登録するには、[コンプライアンス] タブを開き、該当する準拠していない割り当てを選択して、修復タスクを作成します。 | deployIfNotExists | 1.0.1 |
| カスタム ワークスペースを使用してサブスクリプションに対するLog Analytics エージェントの自動プロビジョニングを行います | Security Center でサブスクリプションにLog Analytics エージェントを自動プロビジョニングして、カスタム ワークスペースを使用してセキュリティ データを監視および収集できるようにします。 | DeployIfNotExists、無効 | 1.0.0 |
| Security Center でサブスクリプションにLog Analytics エージェントを自動プロビジョニングして、ASC の既定のワークスペースを使用してセキュリティ データを監視および収集できるようにします。 | DeployIfNotExists、無効 | 1.0.0 | |
| AI ワークロードへの脅威に対する保護を有効にする | AI ワークロードに対する脅威保護Microsoft、自宅で成長した Generative AI を利用したアプリケーションの保護を目的とした、コンテキスト化された証拠ベースのセキュリティ アラートを提供します | DeployIfNotExists、無効 | 1.0.0 |
| リソースに対する所有者アクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する読み取りアクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| リソースに対する書き込みアクセス許可を持つGuest アカウントAzure削除する必要があります | 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| ゲスト構成拡張機能をマシンにインストールする必要がある | マシンのゲスト内設定について、セキュリティで保護された構成を確保するには、ゲスト構成拡張機能をインストールします。 この拡張機能によって監視されるゲスト内設定には、オペレーティング システムの構成、アプリケーションの構成またはプレゼンス、環境設定が含まれます。 インストールすると、"Windows Exploit guard を有効にする必要があります" などのゲスト内ポリシーが使用できるようになります。 詳細については、https://aka.ms/gcpol をご覧ください。 | AuditIfNotExists、Disabled | 1.0.3 |
| インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシン上の IP 転送を無効にする必要がある | 仮想マシンの NIC で IP 転送を有効にすると、そのマシンはその他の宛先へのトラフィックを受信できます。 IP 転送が必要な状況は (VM をネットワーク仮想アプライアンスとして使用する場合などに) 限られているため、ネットワーク セキュリティ チームはこのことを確認する必要があります。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes Service を脆弱性のない Kubernetes バージョンにアップグレードする必要がある | 現在の Kubernetes バージョンの既知の脆弱性から保護するため、Kubernetes Service クラスターを新しい Kubernetes バージョンにアップグレードしてください。 脆弱性 CVE-2019-9946 は、Kubernetes バージョン 1.11.9 以上、1.12.7 以上、1.13.5 以上、および 1.14.0 以上でパッチが適用されています | 監査、無効 | 1.0.2 |
| Log Analytics エージェントは、Cloud Services (延長サポート) ロール インスタンスにインストールする必要があります | Security Center では、セキュリティの脆弱性と脅威を監視するために、Cloud Services (延長サポート) ロール インスタンスからデータを収集します。 | AuditIfNotExists、Disabled | 2.0.0 |
| マシンではシークレットの検出結果が解決されている必要がある | 仮想マシンを監査して、仮想マシンにシークレット スキャン ソリューションからのシークレットの検出結果が含まれているかどうかを検出します。 | AuditIfNotExists、Disabled | 1.0.2 |
| 仮想マシンの管理ポートは、Just-In-Time ネットワーク アクセス制御によって保護されている必要があります | 可能なネットワーク Just-In-Time (JIT) アクセスは、推奨事項としてAzure Security Centerによって監視されます | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンの管理ポートを閉じておく必要がある | リモート管理ポートが開かれているため、お使いの VM がインターネットベースの攻撃を受ける高レベルのリスクにさらされています。 これらの攻撃では、資格情報に対するブルート フォース攻撃を行ってマシンへの管理者アクセス権の取得を試みます。 | AuditIfNotExists、Disabled | 3.0.0 |
| Microsoft Defender CSPMを有効にする必要があります | Defender Cloud Security Posture Management (CSPM) は、強化された体制機能と、リスクの特定、優先順位付け、軽減に役立つ新しいインテリジェント クラウド セキュリティ グラフを提供します。 Defender CSPMは、Defender for Cloudで既定で有効になっている無料の基本セキュリティ体制機能に加えて使用できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| AI サービス用 Microsoft Defenderを有効にする必要があります | サブスクリプションでAI サービス用 Microsoft Defenderが有効になっているかどうかを確認するための監査。 | AuditIfNotExists、Disabled | 1.0.0 |
| API のMicrosoft Defenderを有効にする必要があります | API のMicrosoft Defenderにより、新しい検出、保護、検出、応答の対象範囲が提供され、一般的な API ベースの攻撃とセキュリティの構成ミスを監視できます。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Cosmos DBのMicrosoft Defenderを有効にする必要があります | Azure Cosmos DBのMicrosoft Defenderは、Azure Cosmos DB アカウント内のデータベースを悪用しようとする試みを検出する、Azureネイティブのセキュリティ層です。 Azure Cosmos DBのDefenderは、潜在的な SQL インジェクション、Microsoft脅威インテリジェンスに基づく既知の悪意のあるアクター、疑わしいアクセス パターン、および侵害された ID または悪意のある内部関係者によるデータベースの潜在的な悪用を検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Containers を有効にする必要があります | Microsoft Defender for Containers では、Azure、ハイブリッド、マルチクラウドの Kubernetes 環境に対して、セキュリティ強化、脆弱性評価、ランタイム保護が提供されます。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for SQL は、保護されていない Synapse ワークスペースに対して有効にする必要があります | SQL のDefenderを有効にして、Synapse ワークスペースを保護します。 sql 用のDefenderでは、Synapse SQL を監視して、データベースへのアクセスやデータベースの悪用を試みる、通常とは異なる、害を及ぼす可能性のある試みを示す異常なアクティビティを検出します。 | AuditIfNotExists、Disabled | 1.0.0 |
| Microsoft Defender for Storage を有効にする必要があります | Microsoft Defender for Storage は、ストレージ アカウントに対する潜在的な脅威を検出します。 これは、データおよびワークロードに対する 3 つの大きな影響、すなわち、悪意のあるファイルのアップロード、機密データの流出、データの破損を防ぐのに役立ちます。 ストレージの新しいDefenderプランには、マルウェア スキャンと機密データの脅威検出が含まれます。 このプランはまた、(ストレージ アカウントごとの) 価格構造が予想しやすくなっており、カバレッジとコストを制御できます。 | AuditIfNotExists、Disabled | 1.0.0 |
| インターネットに接続されていない仮想マシンをネットワーク セキュリティ グループで保護する必要がある | ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、インターネットに接続されていない仮想マシンを潜在的な脅威から保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 | AuditIfNotExists、Disabled | 3.0.0 |
| ユーザーが実行できるアクションをきめ細かくフィルター処理するには、Role-Based Access Control (RBAC) を使用して Kubernetes Service クラスターのアクセス許可を管理し、関連する承認ポリシーを構成します。 | 監査、無効 | 1.1.0 | |
| Security Center の Standard 価格レベルを選択する必要がある | Standard 価格レベルでは、ネットワークと仮想マシンの脅威検出が可能になり、脅威インテリジェンス、異常検出、および動作分析がAzure Security Center | 監査、無効 | 1.1.0 |
| 代替脆弱性評価ソリューションに移行するためのサブスクリプションを設定する | クラウドのMicrosoft Defenderは、追加料金なしでマシンの脆弱性スキャンを提供します。 このポリシーを有効にすると、Defender for Cloudによって、組み込みのMicrosoft Defender脆弱性管理ソリューションからの結果が、サポートされているすべてのマシンに自動的に反映されます。 | DeployIfNotExists、無効 | 1.0.0-preview |
| SQL データベースでは脆弱性の検出結果を解決する必要がある | 脆弱性評価スキャン結果と、データベースの脆弱性を修正する方法についての推奨事項を監視します。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL サーバーを対象とした自動プロビジョニングをマシン プラン上の SQL サーバーに対して有効にする必要がある | SQL VM と Arc 対応 SQL Server が確実に保護されるようにするには、SQL を対象とするAzure監視エージェントが自動的にデプロイされるように構成されていることを確認します。 これは、Microsoft Monitoring Agent の自動プロビジョニングを以前に構成している場合にも必要です。これは、そのコンポーネントが非推奨になっている場合です。 詳細情報: https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| マシン上の SQL サーバーでは脆弱性の検出結果を解決する必要がある | SQL の脆弱性評価では、データベースのセキュリティの脆弱性をスキャンすることで、構成の誤り、過剰なアクセス許可、機密データの未保護など、ベスト プラクティスからの逸脱をすべて明らかにします。 見つかった脆弱性を解決すると、データベースのセキュリティ態勢が大幅に向上する可能性があります。 | AuditIfNotExists、Disabled | 1.0.0 |
| サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります | ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、サブネットへのネットワーク トラフィックを許可または拒否する Access Control リスト (ACL) 規則の一覧が含まれています。 | AuditIfNotExists、Disabled | 3.0.0 |
| サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある | サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 | AuditIfNotExists、Disabled | 1.0.1 |
| システム更新プログラムをマシンにインストールする必要がある (更新センターを利用) | お使いのマシンに、システム、セキュリティ、および緊急更新プログラムがインストールされていません。 多くの場合、ソフトウェア更新プログラムには、セキュリティ ホールに対する重要なパッチが含まれています。 このようなホールはマルウェア攻撃で頻繁に悪用されるため、ソフトウェアを最新の状態に保つことが不可欠です。 未処理のパッチをすべてインストールし、マシンをセキュリティで保護するには、修復手順に従います。 | AuditIfNotExists、Disabled | 1.0.1 |
| 複数の所有者がサブスクリプションに割り当てられている必要がある | 管理者アクセスの冗長性を確保するため、複数のサブスクリプション所有者を指定することをお勧めします。 | AuditIfNotExists、Disabled | 3.0.0 |
| 仮想マシンのゲスト構成拡張機能はシステム割り当てマネージド ID を使用してデプロイする必要がある | ゲスト構成拡張機能には、システム割り当てマネージド ID が必要です。 このポリシーのスコープ内のAzure仮想マシンは、ゲスト構成拡張機能がインストールされていても、システム割り当てマネージド ID がない場合は非準拠になります。 詳細については、https://aka.ms/gcpol を参照してください | AuditIfNotExists、Disabled | 1.0.1 |
次のステップ
この記事では、Defender for Cloudのセキュリティ ポリシー定義Azure Policyについて説明しました。 イニシアチブ、ポリシー、およびDefender for Cloudの推奨事項との関連の詳細については、「セキュリティ ポリシー、イニシアティブ、および推奨事項とは何ですか?を参照してください。