你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此页面是与Microsoft Defender for Cloud相关的Azure Policy内置策略定义的索引。 策略定义进行下列分组:
- 初始化组列出了“Defender for Cloud”类别中的Azure Policy计划定义。
- default 计划组列出了属于Defender for Cloud默认计划的所有Azure Policy定义,Microsoft云安全基准。 此Microsoft创作的广受人尊敬的基准基于 internet Security Center 和国家标准与技术研究所(NIST)的控制,专注于以云为中心的安全性。
- 类别组列出了“Defender for Cloud”类别中的所有Azure Policy定义。
有关安全策略的详细信息,请参阅使用安全策略。 有关其他服务的其他Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Microsoft Defender for Cloud计划
若要了解由Defender for Cloud监视的内置计划,请参阅下表:
| Name | Description | Policies | Version |
|---|---|---|---|
| [预览]:部署Microsoft Defender for Endpoint代理 | 在适用的映像上部署Microsoft Defender for Endpoint代理。 | 4 | 1.0.0-preview |
| [预览]:Microsoft云安全基准 v2 | Microsoft云安全基准计划表示实施Microsoft云安全基准中定义的安全建议的策略和控制,请参阅 https://aka.ms/azsecbm。 这也充当Microsoft Defender for Cloud默认策略计划。 可以直接分配此计划,或在Microsoft Defender for Cloud中管理其策略和合规性结果。 | 414 | 1.3.0-preview |
| 在开源关系数据库上启用配置Advanced Threat Protection | 在非基本层开源关系数据库上启用Advanced Threat Protection,以检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 请参阅 https://aka.ms/AzDforOpenSourceDBsDocu。 | 5 | 1.2.0 |
| 在 SQL Server 和 SQL 托管实例上启用的配置Azure Defender | 在 SQL Server 和 SQL 托管实例上启用Azure Defender,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | 3 | 3.0.0 |
| 配置Microsoft Defender for Cloud计划 | Microsoft Defender for Cloud提供从开发到多云环境中的运行时的全面云原生保护。 使用策略计划将Defender for Cloud计划和扩展配置为在所选范围启用。 | 12 | 1.1.0 |
| 要启用的数据库的配置Microsoft Defender | 为数据库配置Microsoft Defender以保护Azure SQL数据库、托管实例、开源关系数据库和 Cosmos DB。 | 4 | 1.0.0 |
| 使用 Microsoft Defender for Cloud(WDATP、WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW、WDATP_UNIFIED_SOLUTION 等)配置多个Microsoft Defender for Endpoint集成设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | 3 | 1.0.0 | |
| 配置 SQL VM 和已启用 Arc 的 SQL Server 以安装Microsoft Defender扩展 | sql Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | 3 | 1.0.0 |
| 配置 SQL VM 和已启用 Arc 的 SQL Server,以便通过 LA 工作区安装 SQL 和 AMA 的Microsoft Defender | sql Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组和数据收集规则并Log Analytics工作区。 | 9 | 1.3.0 |
| 配置启用了 Arc 的 SQL VM 和已启用 Arc 的 SQL Server,以便为具有用户定义的 LA 工作区的 SQL 和 AMA 安装Microsoft Defender | sql Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | 8 | 1.2.0 |
| Microsoft云安全基准 | Microsoft云安全基准计划表示实施Microsoft云安全基准中定义的安全建议的策略和控制,请参阅 https://aka.ms/azsecbm。 这也充当Microsoft Defender for Cloud默认策略计划。 可以直接分配此计划,或在Microsoft Defender for Cloud中管理其策略和合规性结果。 | 223 | 57.56.0 |
Defender for Cloud的默认计划(Microsoft云安全基准)
若要了解由Defender for Cloud监视的内置策略,请参阅下表:
| 策略名称 (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure 安全中心已确定某些子网不受下一代防火墙的保护。 通过使用Azure 防火墙或受支持的下一代防火墙限制对子网的访问,防止潜在威胁 | AuditIfNotExists、Disabled | 3.0.0-preview | |
| [预览]:Azure Arc启用的 Kubernetes 群集应已安装Microsoft Defender for Cloud扩展 | Azure Arc的 Microsoft Defender for Cloud 扩展为已启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将其发送到云中 Kubernetes 后端的 Azure Defender,以便进一步分析。 若要了解详细信息,请访问 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览]:Azure PostgreSQL 灵活服务器应已启用Microsoft Entra身份验证 | 禁用本地身份验证方法,仅允许Microsoft Entra身份验证可确保Azure PostgreSQL 灵活服务器可通过Microsoft Entra标识独占访问来提高安全性。 | Audit、Disabled | 1.0.0-preview |
| [预览]:Azure Stack HCI 服务器应始终强制实施应用程序控制策略 | 至少在所有Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基策略。 应用Windows Defender应用程序控制(WDAC)策略必须在同一群集中的服务器之间保持一致。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [预览]:Azure Stack HCI 服务器应满足安全核心要求 | 确保所有Azure Stack HCI 服务器都满足安全核心要求。 若要启用安全核心服务器要求:1。 在“Azure Stack HCI 群集”页中,转到Windows Admin Center并选择“连接”。 2. 转到“安全扩展插件”并选择“安全核心”。 3. 选择未启用的任何设置,然后单击“启用”。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [预览]:Azure Stack HCI 系统应具有加密卷 | 使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在支持的 Linux 虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [预览]:应在支持的虚拟机Windows上安装来宾证明扩展 | 在支持的虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [预览]:应在受支持的Windows虚拟机规模集上安装来宾证明扩展 | 在支持的虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [预览]:主机和 VM 网络应在 Azure Stack HCI 系统上受到保护 | 保护Azure Stack HCI 网络上和虚拟机网络连接上的数据。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [预览]:Linux 虚拟机应仅使用已签名且受信任的启动组件 | 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud已在一个或多个 Linux 计算机上标识了不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览]:应在Windows虚拟机上安装网络流量数据收集代理 | 安全中心使用Microsoft依赖项代理从Azure虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览]:应在 Windows支持的虚拟机上启用安全启动 | 在受支持的Windows虚拟机上启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任的启动和机密Windows虚拟机。 | Audit、Disabled | 4.0.0-preview |
| [预览版]:应在支持的虚拟机上启用 vTPM | 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | Audit、Disabled | 2.0.0-preview |
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为 MySQL 服务器预配A Microsoft Entra管理员 | 审核 MySQL 服务器的Microsoft Entra管理员预配以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft 服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.1.1 |
| 应为 PostgreSQL 服务器预配 A Microsoft Entra 管理员 | 审核 PostgreSQL 服务器的Microsoft Entra管理员预配以启用Microsoft Entra身份验证。 Microsoft Entra身份验证使数据库用户和其他Microsoft 服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.0.1 |
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括针对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已确定某些网络安全组的入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为 SQL Server 预配Azure Active Directory管理员 | 审核 SQL Server Azure Active Directory 管理员预配以启用 Azure AD 身份验证。 Azure AD 身份验证使数据库用户和其他Microsoft 服务能够简化权限管理和集中标识管理 | AuditIfNotExists、Disabled | 1.0.0 |
| 应对Azure API 管理中的 API 终结点进行身份验证 | Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 请在此处详细了解用户身份验证中断的 OWASP API 威胁:https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 应禁用未使用的 API 终结点,并将其从 Azure API 管理 服务中删除 | 作为安全最佳做法,未收到流量 30 天的 API 终结点被视为未使用,应从Azure API 管理服务中删除。 保留未使用的 API 终结点可能会给组织带来安全风险。 这些 API 可能已从 Azure API 管理 服务弃用,但可能意外地保持活动状态。 此类 API 通常不会受到最新的安全保护。 | AuditIfNotExists、Disabled | 1.0.1 |
| API 管理 API 应仅使用加密协议 | 为了确保传输中数据的安全性,API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议,例如 HTTP 或 WS。 | 审核、已禁用、拒绝 | 2.0.2 |
| API 管理对 API 后端的调用应进行身份验证 | 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于服务Fabric后端。 | 审核、已禁用、拒绝 | 1.0.1 |
| API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 要提升 API 安全性,API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证。 | 审核、已禁用、拒绝 | 1.0.2 |
| 不应启用 API 管理直接管理终结点 | Azure API 管理中的直接管理 REST API 绕过Azure 资源管理器基于角色的访问控制、授权和限制机制,从而增加服务的漏洞。 | 审核、已禁用、拒绝 | 1.0.2 |
| 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理(自定义机密)中的加密文本,也可以通过在Azure 密钥保管库中引用机密来存储机密。 为了提高 API 管理和机密的安全性,请从Azure 密钥保管库引用命名的机密值。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。 | 审核、已禁用、拒绝 | 1.0.2 | |
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供增强的安全性、隔离性,使你能够将 API 管理服务放置在你控制其访问权限的非 Internet 可路由网络中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | Audit、Deny、Disabled | 1.0.2 |
| API 管理应禁用对服务配置终结点的公用网络访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | AuditIfNotExists、Disabled | 1.0.1 |
| API 管理订阅的范围不应为所有 API | API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致过多的数据泄露。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应用程序配置应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.2.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | Audit、Disabled | 1.0.1 |
| 应启用 SQL 服务器上的审核 | 应启用对SQL Server的审核,以跟踪服务器上的所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists、Disabled | 2.0.0 |
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 向 Azure Linux 虚拟机进行身份验证的最安全选项是具有公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | Audit、Deny、Disabled | 2.2.0 | |
| Azure AI 服务资源应禁用密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 Azure OpenAI Studio,通常用于开发/测试,需要密钥访问,如果禁用密钥访问,则不会正常工作。 禁用后,Microsoft Entra ID成为唯一的访问方法,允许保持最低特权原则和精细控制。 了解详细信息:https://aka.ms/AI/auth | Audit、Deny、Disabled | 1.1.0 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,以便只有允许网络中的应用程序可以访问Azure AI 服务。 | Audit、Deny、Disabled | 3.3.0 |
| Azure AI 服务资源应使用 Azure 专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/AzurePrivateLink/Overview | Audit、Disabled | 1.0.0 |
| Azure API 管理平台版本应为 stv2 | Azure API 管理 stv1 计算平台版本将于 2024 年 8 月 31 日停用,这些实例应迁移到 stv2 计算平台,以便继续提供支持。 有关详细信息,请访问 https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit、Deny、Disabled | 1.0.0 |
| 已启用 Azure Arc Kubernetes 群集应安装Azure Policy扩展 | Azure Arc的Azure Policy扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 更多信息请访问 https://aka.ms/akspolicydoc。 | AuditIfNotExists、Disabled | 1.1.0 |
| 应为 虚拟机Azure 备份> | 启用Azure 备份,确保保护Azure 虚拟机。 Azure 备份是一种安全且经济高效的数据保护解决方案,适用于Azure。 | AuditIfNotExists、Disabled | 3.0.0 |
| Azure Cache for Redis应使用专用链接 | 专用终结点允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 通过将专用终结点映射到Azure Cache for Redis实例,可以降低数据泄露风险。 有关详细信息,请访问:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure Cosmos DB帐户应具有防火墙规则 | 应在Azure Cosmos DB帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | Audit、Deny、Disabled | 2.1.0 |
| Azure Cosmos DB帐户应使用客户管理的密钥加密静态数据 | 使用客户管理的密钥管理Azure Cosmos DB的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/cosmosdb-cmk。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Cosmos DB应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit、Deny、Disabled | 1.0.0 |
| Azure Databricks群集应禁用公共 IP | 在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开,从而提高安全性。 有关详细信息,请访问:https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks工作区应位于虚拟网络中 | Azure虚拟网络为Azure Databricks工作区以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 有关详细信息,请访问:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。 | Audit、Deny、Disabled | 1.0.2 |
| Azure Databricks工作区应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息,请访问:https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。 | Audit、Deny、Disabled | 1.0.1 |
| Azure Databricks工作区应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure Databricks工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/adbpe。 | Audit、Disabled | 1.0.2 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 应启用应用服务的 Azure Defender | 应用服务的Azure Defender利用云的规模和Azure作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用密钥保管库的 Azure Defender | 密钥保管库的Azure Defender通过检测访问或利用key vault帐户的异常和潜在有害尝试,提供了额外的保护和安全智能层。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用开放源代码关系数据库的 Azure Defender | 开源关系数据库的Azure Defender可检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 在 https://aka.ms/AzDforOpenSourceDBsDocu 了解有关开放源代码关系数据库Azure Defender功能的详细信息。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用资源管理器的 Azure Defender | Azure Defender 资源管理器会自动监视组织中的资源管理操作。 Azure Defender检测到有关可疑活动的威胁和警报。 在 https://aka.ms/defender-for-resource-manager 详细了解资源管理器 Azure Defender的功能。 启用此Azure Defender计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为服务器启用 Azure Defender | 服务器Azure Defender为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应为计算机上的 SQL Server 启用 Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的Azure SQL服务器启用 SQL Azure Defender | 审核没有高级数据安全的 SQL 服务器 | AuditIfNotExists、Disabled | 2.0.1 |
| 应为未受保护的 MySQL 灵活服务器启用 sql Azure Defender | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 sql Azure Defender | 审核没有高级数据安全的 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 SQL 托管实例启用 sql Azure Defender | 审核每个SQL 托管实例,而无需高级数据安全性。 | AuditIfNotExists、Disabled | 1.0.2 |
| Azure 事件网格域应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 事件网格主题应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/privateendpoints。 | Audit、Disabled | 1.0.2 |
| Azure 密钥保管库应禁用防火墙或禁用公用网络访问 | 启用密钥保管库防火墙,以便默认情况下无法访问密钥保管库,或者禁用密钥保管库的公共网络访问,以便无法通过公共 Internet 访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 请访问 https://docs.microsoft.com/azure/key-vault/general/network-security 和 https://aka.ms/akvprivatelink 了解详细信息 | Audit、Deny、Disabled | 3.3.0 |
| Azure 密钥保管库应使用 RBAC 权限模型 | 启用适用于所有 Key Vault 的 RBAC 权限模型。 了解详细信息:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit、Deny、Disabled | 1.0.1 |
| Azure Key Vault 应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes 服务群集应已启用Defender配置文件 | 容器Microsoft Defender提供云原生 Kubernetes 安全功能,包括环境强化、工作负荷保护和运行时保护。 在 Azure Kubernetes 服务 群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 详细了解 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 中的容器Microsoft Defender | Audit、Disabled | 2.0.1 |
| 应重新创建Azure 机器学习计算实例以获取最新的软件更新 | 确保Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| Azure 机器学习计算应位于虚拟网络中 | Azure虚拟网络为Azure 机器学习计算群集和实例以及子网、访问控制策略和其他功能提供增强的安全性和隔离性,以进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | Audit、Disabled | 1.0.1 |
| Azure 机器学习计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器学习计算仅需要Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://aka.ms/azure-ml-aad-policy。 | Audit、Deny、Disabled | 2.1.0 |
| Azure 机器学习工作区应使用客户管理的密钥进行加密 | 使用客户管理的密钥管理Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/azureml-workspaces-cmk。 | Audit、Deny、Disabled | 1.1.0 |
| Azure 机器学习工作区应禁用公用网络访问 | 禁用公共网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用终结点来控制工作区的公开。 有关详细信息,请参阅:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit、Deny、Disabled | 2.0.1 |
| Azure 机器学习工作区应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure 机器学习工作区,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit、Disabled | 1.0.0 |
| Azure MySQL 灵活服务器应仅启用Microsoft Entra身份验证 | 禁用本地身份验证方法,仅允许Microsoft Entra身份验证可确保Azure MySQL 灵活服务器可通过Microsoft Entra标识独占访问来提高安全性。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure Policy应在群集上安装和启用 Kubernetes 服务的加载项 | Azure Policy Kubernetes 服务(AKS)的加载项扩展了 Gatekeeper v3,这是开放策略代理(OPA)的允许控制器 Webhook,以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | Audit、Disabled | 1.0.2 |
| Azure注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理 提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure运行容器映像时,应已解决漏洞(由 Microsoft Defender 漏洞管理) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure SignalR 服务应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到Azure SignalR 服务资源而不是整个服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/asrs/privatelink。 | Audit、Disabled | 1.0.0 |
| Azure Spring Cloud 应使用网络注入 | Azure Spring Cloud 实例应将虚拟网络注入用于以下目的:1。 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与其他虚拟网络中的系统交互,或与其他虚拟网络中的Azure服务进行交互。 3. 使客户能够控制 Azure Spring Cloud 的入站和出站网络通信。 | 审核、已禁用、拒绝 | 1.2.0 |
| Azure SQL 数据库应运行 TLS 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本可确保只能从使用 TLS 1.2 或更高版本的客户端访问Azure SQL 数据库来提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审核、已禁用、拒绝 | 2.0.0 |
| Azure SQL 数据库应已启用仅Microsoft Entra身份验证 | 要求Azure SQL逻辑服务器使用仅Microsoft Entra身份验证。 此策略不会阻止创建启用本地身份验证的服务器。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL逻辑服务器应在创建期间启用仅Microsoft Entra身份验证 | 要求使用仅Microsoft Entra身份验证创建Azure SQL逻辑服务器。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.3.0 |
| Azure SQL 托管实例应已启用仅Microsoft Entra身份验证 | 要求Azure SQL 托管实例使用仅Microsoft Entra身份验证。 此策略不会阻止Azure SQL启用了本地身份验证的托管实例创建。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL托管实例应禁用公用网络访问 | 在Azure SQL托管实例上禁用公用网络访问(公共终结点)可以提高安全性,方法是确保只能从虚拟网络内部或通过专用终结点访问它们。 若要了解有关公共网络访问的详细信息,请访问 https://aka.ms/mi-public-endpoint。 | Audit、Deny、Disabled | 1.0.0 |
| Azure SQL托管实例在创建期间应启用仅Microsoft Entra身份验证 | 要求使用仅Microsoft Entra身份验证创建Azure SQL 托管实例。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/adonlycreate。 | Audit、Deny、Disabled | 1.2.0 |
| 应为Azure Front Door入口点启用 Azure Web 应用程序防火墙 | 在面向公众的 Web 应用程序前部署Azure Web 应用程序防火墙(WAF),以进一步检查传入流量。 Web 应用程序防火墙(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 1.0.2 |
| 应删除对Azure资源具有所有者权限的阻止的帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源的读取和写入权限的阻止的帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | audit、Audit、deny、Deny、disabled、Disabled | 2.2.1 |
| 应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 更多信息请访问 https://aka.ms/acr/CMK。 | Audit、Deny、Disabled | 1.1.2 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure容器注册表接受来自任何网络上主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 在此处了解有关容器注册表网络规则的详细信息:https://aka.ms/acr/privatelinkhttps://aka.ms/acr/portal/public-network和https://aka.ms/acr/vnet。 | Audit、Deny、Disabled | 2.0.0 |
| 容器注册表应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。通过将专用终结点映射到容器注册表而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请访问:https://aka.ms/acr/private-link。 | Audit、Disabled | 1.0.1 |
| Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户完全要求Azure Active Directory标识进行身份验证,从而提高安全性。 有关详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit、Deny、Disabled | 1.1.0 |
| CosmosDB 帐户应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit、Disabled | 1.0.0 |
| 应启用Azure AI 服务资源中的 Diagnostic 日志 | 为Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL支持使用安全套接字层(SSL)将Azure Database for MySQL服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for PostgreSQL支持使用安全套接字层(SSL)将Azure Database for PostgreSQL服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | Audit、Disabled | 1.0.1 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、Disabled | 1.1.0 |
| 函数应用应已禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.1.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.1.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.1.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.3.0 |
| 应为 Azure Database for MariaDBGeo 冗余备份> | Azure Database for MariaDB允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for MySQLGeo 冗余备份> | Azure Database for MySQL允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应为 Azure Database for PostgreSQLGeo 冗余备份> | Azure Database for PostgreSQL允许为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | Audit、Disabled | 1.0.1 |
| 应删除对Azure资源具有所有者权限的 guest 帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有读取权限的 guest 帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有写入权限的 guest 帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,例如“应启用Windows攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| 密钥保管库密钥应具有过期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| 密钥保管库机密应具有过期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | Audit、Deny、Disabled | 1.0.2 |
| Key Vault 应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 组织内部或Microsoft任何人都无法在软删除保留期内清除密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | Audit、Deny、Disabled | 3.1.0 |
| Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes 群集容器不应共享主机命名空间 | 阻止 Pod 容器共享 Kubernetes 群集中的主机进程 ID 命名空间、主机 IPC 命名空间和主机网络命名空间。 此建议符合主机命名空间的 Kubernetes Pod 安全标准,是 CIS 5.2.1、5.2.2 和 5.2.3 的一部分,旨在提高 Kubernetes 环境的安全性。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | Audit、Deny、Disabled | 6.0.0 |
| Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.1 |
| Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.3.0 |
| Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常用于 Kubernetes 服务(AKS),并Azure Arc已启用 Kubernetes。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.3.0 |
| Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 控制 Pod 和容器可以使用哪些用户、主要组、补充组和文件系统组 ID 在 Kubernetes 群集中运行。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 6.2.0 |
| Kubernetes 群集中的 Pod 应仅使用经过批准的主机网络和端口列表 | 限制 Pod 对主机网络和 Kubernetes 群集中允许的主机端口的访问。 此建议是 CIS 5.2.4 的一部分,旨在提高 Kubernetes 环境的安全性,并与 HostPorts 的 Pod 安全标准(PSS)保持一致。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | Audit、Deny、Disabled | 7.0.0 |
| Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以确保对 Kubernetes 群集进行的访问安全。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 8.2.0 |
| Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 9.2.0 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已正式发布,适用于 Kubernetes 服务(AKS),在预览版中支持 Azure Arc Kubernetes。 有关详细信息,请访问 https://aka.ms/kubepolicydoc | Audit、Deny、Disabled | 9.0.0 |
| Kubernetes 群集应禁用自动装载 API 凭据 | 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Kubernetes 群集不得允许容器特权提升 | 不允许容器使用特权提升运行,从而进入 Kubernetes 群集的根。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略适用于 Kubernetes 服务(AKS),并为已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | Audit、Deny、Disabled | 8.0.0 |
| Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 | 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 5.1.0 |
| Kubernetes 群集不应使用默认命名空间 | 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅 https://aka.ms/kubepolicydoc。 | audit、Audit、deny、Deny、disabled、Disabled | 4.2.0 |
| Linux 计算机应满足Azure计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算安全基线中的某个建议。 | AuditIfNotExists、Disabled | 2.3.1 |
| Linux 虚拟机应启用 Azure 磁盘加密 或 EncryptionAtHost. | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 使用 Azure 磁盘加密 或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.2.1 |
| 计算机应配置为定期检查,以确认缺少的系统更新 | 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 了解有关 Windows 的 AssessmentMode 属性的详细信息:适用于 Linux 的 https://aka.ms/computevm-windowspatchassessmentmode,:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit、Deny、Disabled | 3.9.0 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | Azure 安全中心作为建议监视可能的实时网络(JIT)访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Microsoft Defender CSPM | Defender云安全状况管理(CSPM)提供增强的姿态功能和新的智能云安全图,以帮助识别、确定优先级和降低风险。 除了默认在Defender for Cloud中启用的免费基础安全状况功能外,还提供Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 API 的 Microsoft Defender | MICROSOFT DEFENDER API 带来了新的发现、保护、检测和响应覆盖范围,用于监视常见的基于 API 的攻击和安全配置错误。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用容器的 Microsoft Defender | 容器Microsoft Defender为Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 sql Microsoft Defender | 为 SQL 启用Defender以保护 Synapse 工作区。 Defender,SQL 监视 Synapse SQL,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用存储Microsoft Defender | 存储Microsoft Defender可检测对存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 存储计划的新Defender包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| MySQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应启用 网络观察程序 | 网络观察程序是一项区域服务,可用于监视和诊断网络方案级别的条件,以及从Azure进行监视和诊断。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用与Azure Cache for Redis的安全连接 | 审核仅允许通过 SSL 连接到Azure Cache for Redis的连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | Audit、Deny、Disabled | 1.0.0 |
| PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 通过客户管理的密钥,可以使用你创建的和拥有Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应启用Azure SQL 数据库上的 Private 终结点连接 | 专用终结点连接通过启用与Azure SQL 数据库的专用连接来强制实施安全通信。 | Audit、Disabled | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for MariaDB的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for MySQL的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用与Azure Database for PostgreSQL的专用连接来强制实施安全通信。 配置专用终结点连接,以允许访问来自已知网络的流量,并阻止来自所有其他 IP 地址(包括Azure内)的访问。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应禁用Azure SQL 数据库上的公共网络访问 | 禁用公共网络访问属性可确保只能从专用终结点访问Azure SQL 数据库来提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | Audit、Deny、Disabled | 1.1.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for MariaDB。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 或基于虚拟网络的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for MySQL。 此配置严格禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝所有与基于 IP 或基于虚拟网络的防火墙规则匹配的登录名。 | Audit、Deny、Disabled | 2.0.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公共网络访问属性以提高安全性并确保只能从专用终结点访问Azure Database for PostgreSQL。 此配置禁止从Azure IP 范围之外的任何公共地址空间进行访问,并拒绝与基于 IP 或虚拟网络的防火墙规则匹配的所有登录名。 | Audit、Deny、Disabled | 2.0.1 |
| 应启用 Azure Data Lake Store 中的源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用Azure Databricks工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用Azure Kubernetes 服务中的资源日志 | Azure Kubernetes 服务的资源日志有助于在调查安全事件时重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应启用Azure 流分析中的源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用应启用Data Lake Analytics中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用应启用IoT 中心中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 3.1.0 |
| 应启用应启用密钥保管库中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的 源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应在 Kubernetes 服务上使用 Role-Based 访问控制 (RBAC | 若要对用户可以执行的操作进行精细筛选,请使用 Role-Based 访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关的授权策略。 | Audit、Disabled | 1.1.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
| Service Fabric群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | 服务Fabric提供三个级别的保护(无、签名和 EncryptAndSign),用于使用主群集证书进行节点到节点通信。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | Audit、Deny、Disabled | 1.1.0 |
| 服务Fabric群集应仅使用Azure Active Directory进行客户端身份验证 | 仅通过服务Fabric中的Azure Active Directory审核客户端身份验证的使用情况 | Audit、Deny、Disabled | 1.1.0 |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用自己的密钥实现透明数据加密(TDE),可以提高 TDE 保护程序的透明度和控制,提高 HSM 支持的外部服务的安全性,以及促进职责分离。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.0 |
| 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将 SQL 目标Azure监视代理配置为自动部署。 如果以前已将Microsoft监视代理的自动预配配置为已弃用该组件,则还需要这样做。 了解详细信息:https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用自己的密钥实现透明数据加密(TDE)可以提高对 TDE 保护程序的透明度和控制,通过 HSM 支持的外部服务提高安全性,以及促进职责分离。 此建议适用于具有相关合规性要求的组织。 | Audit、Deny、Disabled | 2.0.1 |
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 出于事件调查目的,我们建议将SQL Server审核的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁止存储帐户公共访问 | Azure 存储中对容器和 blob 的匿名公共读取访问是共享数据的一种便捷方法,但可能存在安全风险。 为了防止因匿名访问而导致的数据泄露,Microsoft建议防止对存储帐户的公共访问,除非你的方案需要它。 | audit、Audit、deny、Deny、disabled、Disabled | 3.1.1 |
| 应将 Storage 帐户迁移到新的Azure 资源管理器资源 | 使用存储帐户的新Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure 资源管理器的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应阻止共享密钥访问 | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft建议这样做。 | Audit、Deny、Disabled | 2.0.0 |
| 存储帐户应阻止共享密钥访问(不包括 Databricks 创建的存储帐户) | Azure Active Directory(Azure AD)的审核要求,以授权对存储帐户的请求。 默认情况下,可以使用Azure Active Directory凭据或使用帐户访问密钥进行共享密钥授权来授权请求。 在这两种类型的授权中,Azure AD 提供优于共享密钥的安全性和易用性,Microsoft建议这样做。 | Audit、Deny、Disabled | 1.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定Azure虚拟网络或公共 Internet IP 地址范围的流量授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.1 |
| 存储帐户应使用虚拟网络规则限制网络访问(不包括 Databricks 创建的存储帐户) | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | Audit、Deny、Disabled | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | Audit、Disabled | 1.0.3 |
| 存储帐户应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 2.0.0 |
| 存储帐户应使用专用链接(不包括 Databricks 创建的存储帐户) | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/azureprivatelinkoverview。 | AuditIfNotExists、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含允许或拒绝发到子网的网络流量的访问控制列表(ACL)规则列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| Synapse 工作区应启用仅Microsoft Entra身份验证 | 要求 Synapse 工作区使用仅Microsoft Entra身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | Audit、Deny、Disabled | 1.0.0 |
| Synapse 工作区应在创建工作区期间仅使用Microsoft Entra标识进行身份验证 | 要求使用仅Microsoft Entra身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 请考虑使用“仅Microsoft Entra身份验证”计划来同时要求这两者。 有关详细信息,请访问:https://aka.ms/Synapse。 | Audit、Deny、Disabled | 1.2.0 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 SQL 数据库的 透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists、Disabled | 2.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机中加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 更多信息请访问 https://aka.ms/vm-hbe。 | Audit、Deny、Disabled | 1.0.0 |
| 应将虚拟机迁移到新的Azure 资源管理器资源 | 使用虚拟机的新Azure 资源管理器提供安全增强功能,例如:更强的访问控制(RBAC)、更好的审核、基于Azure 资源管理器的部署和管理、对托管标识的访问、机密密钥保管库的访问、Azure基于 AD 的身份验证和支持标记和资源组,以便更轻松地进行安全管理 | Audit、Deny、Disabled | 1.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果虚拟机安装了来宾配置扩展,但没有系统分配的托管标识,则此策略范围内Azure虚拟机将不符合要求。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
| VM 映像生成器模板应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
| VPN 网关应仅对点到站点用户使用Azure Active Directory(Azure AD)身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用Azure Active Directory标识进行身份验证,从而提高安全性。 在 https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant 了解有关 Azure AD 身份验证的详细信息 | Audit、Deny、Disabled | 1.0.0 |
| 审核未启用定期漏洞评估扫描的每个SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 1.0.1 | |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的服务器Azure SQL。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF | 在面向公众的 Web 应用程序前部署Azure Web 应用程序防火墙(WAF),以进一步检查传入流量。 Web 应用程序防火墙(WAF)可集中保护 Web 应用程序免受 SQL 注入、跨站点脚本、本地和远程文件执行等常见攻击和漏洞的集中保护。 还可以通过自定义规则,按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | Audit、Deny、Disabled | 2.0.0 |
| 应在计算机上启用 Windows Defender Exploit Guard | Windows Defender Exploit Guard 使用Azure Policy来宾配置代理。 Exploit Guard 有四个组件,旨在锁定设备免受各种攻击途径和恶意软件攻击中常用的阻止行为,同时使企业能够平衡其安全风险和生产力要求(仅Windows)。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应将Windows计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windows计算机应满足Azure计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机未正确配置,则计算机不符合Azure计算安全基线中的某个建议。 | AuditIfNotExists、Disabled | 2.1.1 |
| Windows虚拟机应启用 Azure 磁盘加密 或 EncryptionAtHost. | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 使用 Azure 磁盘加密 或 EncryptionAtHost 进行修正。 访问 https://aka.ms/diskencryptioncomparison 以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 1.1.1 |
Microsoft Defender for Cloud类别
| Name (Azure 门户) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [预览版]:应在 Linux Arc 计算机上安装 ChangeTracking 扩展 | 在 Linux Arc 计算机上安装 ChangeTracking 扩展,以便在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装 ChangeTracking 扩展 | 在 Linux 虚拟机上安装 ChangeTracking 扩展,以便在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:应在 Windows Arc 计算机上安装 ChangeTracking 扩展 | 在 Windows Arc 计算机上安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应在Windows虚拟机上安装 ChangeTracking 扩展 | 在Windows虚拟机上安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.0-preview |
| [预览]:为虚拟机上的 SQL 代理配置Azure Defender | 将Windows计算机配置为自动安装安装Azure Monitor代理的 SQL 代理的Azure Defender。 安全中心从代理收集事件,并使用这些事件来提供安全警报和定制的强化任务(建议)。 在计算机所在的同一区域中创建资源组和Log Analytics工作区。 目标虚拟机必须位于受支持的位置。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机规模集以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 6.1.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动启用安全启动 | 配置受支持的 Linux 虚拟机以自动启用安全启动,从而减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 5.0.0-preview |
| [预览版]:配置支持的 Linux 虚拟机以自动安装来宾证明扩展 | 配置支持的 Linux 虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 7.1.0-preview |
| [预览版]:配置支持的虚拟机以自动启用 vTPM | 配置受支持的虚拟机以自动启用 vTPM,从而帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机规模集以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 4.1.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动启用安全启动 | 配置支持的Windows虚拟机,以自动启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 | DeployIfNotExists、Disabled | 3.0.0-preview |
| [预览]:配置受支持的Windows虚拟机以自动安装来宾证明扩展 | 配置受支持的Windows虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 5.1.0-preview |
| [预览]:配置使用共享映像库映像创建的 VM 以安装来宾证明扩展 | 配置使用共享映像库映像创建的虚拟机以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.0.0-preview |
| [预览]:配置使用 共享映像库 映像创建的 VMSS 以安装来宾证明扩展 | 配置使用共享映像库映像创建的 VMSS 以自动安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 启动完整性是通过远程证明来证明的。 | DeployIfNotExists、Disabled | 2.1.0-preview |
| [预览]:在 Linux 混合计算机上部署Microsoft Defender for Endpoint代理 | 在 Linux 混合计算机上部署Microsoft Defender for Endpoint代理 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览]:在 Linux 虚拟机上部署Microsoft Defender for Endpoint代理 | 在适用的 Linux VM 映像上部署Microsoft Defender for Endpoint代理。 | DeployIfNotExists、AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览]:在Windows Azure Arc计算机上部署Microsoft Defender for Endpoint代理 | 在Windows Azure Arc计算机上部署Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览]:在Windows虚拟机上部署Microsoft Defender for Endpoint代理 | 在适用的Windows VM 映像上部署Microsoft Defender for Endpoint。 | DeployIfNotExists、AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在支持的 Linux 虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists、Disabled | 6.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists、Disabled | 5.1.0-preview |
| [预览]:应在支持的虚拟机Windows上安装来宾证明扩展 | 在支持的虚拟机上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机。 | AuditIfNotExists、Disabled | 4.0.0-preview |
| [预览]:应在受支持的Windows虚拟机规模集上安装来宾证明扩展 | 在支持的虚拟机规模集上安装来宾证明扩展,以允许Azure 安全中心主动证明和监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任的启动和机密Windows虚拟机规模集。 | AuditIfNotExists、Disabled | 3.1.0-preview |
| [预览]:Linux 虚拟机应仅使用已签名且受信任的启动组件 | 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud已在一个或多个 Linux 计算机上标识了不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:Linux 虚拟机应使用安全启动 | 若要防止安装基于恶意软件的 Rootkit 和引导工具包,请在受支持的 Linux 虚拟机上启用安全引导。 安全引导可确保仅允许运行已签名的操作系统和驱动程序。 此评估仅适用于安装了Azure Monitor代理的 Linux 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:计算机应关闭可能暴露攻击途径的端口 | Azure使用条款禁止使用Azure服务的方式可能会损害、禁用、过度负担或损害任何Microsoft服务器或网络。 为了持续安全,需要关闭此建议确定的暴露端口。 对于每个确定的端口,该建议还提供了对潜在威胁的解释。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览]:应在 Windows支持的虚拟机上启用安全启动 | 在受支持的Windows虚拟机上启用安全启动,以防范对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任的启动和机密Windows虚拟机。 | Audit、Disabled | 4.0.0-preview |
| [预览版]:虚拟机来宾证明状态应为正常 | 通过向证明服务器发送受信任的日志 (TCGLog) 来执行来宾证明。 服务器使用这些日志来确定引导组件是否可信。 这项评估旨在检测引导链的泄漏,这可能是引导工具包或 Rootkit 感染所导致的。 这项评估仅适用于安装了来宾证明扩展且支持受信任启动的虚拟机。 | AuditIfNotExists、Disabled | 1.0.0-preview |
| [预览版]:应在支持的虚拟机上启用 vTPM | 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | Audit、Disabled | 2.0.0-preview |
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括针对虚拟机的漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已确定某些网络安全组的入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应对Azure API 管理中的 API 终结点进行身份验证 | Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 请在此处详细了解用户身份验证中断的 OWASP API 威胁:https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists、Disabled | 1.0.1 |
| 应禁用未使用的 API 终结点,并将其从 Azure API 管理 服务中删除 | 作为安全最佳做法,未收到流量 30 天的 API 终结点被视为未使用,应从Azure API 管理服务中删除。 保留未使用的 API 终结点可能会给组织带来安全风险。 这些 API 可能已从 Azure API 管理 服务弃用,但可能意外地保持活动状态。 此类 API 通常不会受到最新的安全保护。 | AuditIfNotExists、Disabled | 1.0.1 |
| 将系统分配的标识分配给 SQL 虚拟机 | 大规模分配系统分配标识以Windows SQL 虚拟机。 | DeployIfNotExists、Disabled | 1.0.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | Audit、Disabled | 2.0.1 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| 应启用应用服务的 Azure Defender | 应用服务的Azure Defender利用云的规模和Azure作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应启用密钥保管库的 Azure Defender | 密钥保管库的Azure Defender通过检测访问或利用key vault帐户的异常和潜在有害尝试,提供了额外的保护和安全智能层。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用开放源代码关系数据库的 Azure Defender | 开源关系数据库的Azure Defender可检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 在 https://aka.ms/AzDforOpenSourceDBsDocu 了解有关开放源代码关系数据库Azure Defender功能的详细信息。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用资源管理器的 Azure Defender | Azure Defender 资源管理器会自动监视组织中的资源管理操作。 Azure Defender检测到有关可疑活动的威胁和警报。 在 https://aka.ms/defender-for-resource-manager 详细了解资源管理器 Azure Defender的功能。 启用此Azure Defender计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为服务器启用 Azure Defender | 服务器Azure Defender为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应为计算机上的 SQL Server 启用 Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应为未受保护的 MySQL 灵活服务器启用 sql Azure Defender | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 sql Azure Defender | 审核没有高级数据安全的 PostgreSQL 灵活服务器 | AuditIfNotExists、Disabled | 1.0.0 |
| Azure注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理 提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists、Disabled | 1.0.1 |
| Azure运行容器映像时,应已解决漏洞(由 Microsoft Defender 漏洞管理) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应删除对Azure资源具有所有者权限的阻止的帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源的读取和写入权限的阻止的帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Linux 虚拟机规模集上安装 ChangeTracking 扩展 | 在 Linux 虚拟机规模集上安装 ChangeTracking 扩展,以便在 Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.1 |
| ChangeTracking 扩展应安装在Windows虚拟机规模集上 | 在Windows虚拟机规模集上安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitoring Agent 支持的虚拟机和位置。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应安全配置云服务(外延支持)角色实例 | 确保云服务(外延支持)角色实例未暴露于任何 OS 漏洞下,以防止这些实例受到攻击。 | AuditIfNotExists、Disabled | 1.0.0 |
| 云服务(外延支持)角色实例应安装系统更新 | 确保已在云服务(外延支持)角色实例上安装最新的安全更新和关键更新,从而对这些实例进行保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 在 mySQL 灵活服务器的Azure数据库上启用配置Advanced Threat Protection | 在 Azure Database for MySQL 灵活服务器上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 postgreSQL 灵活服务器Azure数据库上启用配置Advanced Threat Protection | 在 Azure Database for PostgreSQL 灵活服务器上启用Advanced Threat Protection,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置已启用 Arc 的 SQL Server 以自动安装Azure Monitor代理 | 在已启用 Arc 的 SQL Server 上自动部署 Windows Azure Monitor代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.3.0 |
| 为已启用 Arc 的 SQL Server 自动安装 SQL Microsoft Defender | 配置已启用 Arc 的 SQL Server Windows,以自动安装 SQL 代理的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.2.0 |
| 配置已启用 Arc 的 SQL Server,以便使用 Log Analytics 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置已启用 Arc 的 SQL Server,以便使用用户定义的 LA 工作区为 SQL 和 DCR 自动安装Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.8.0 |
| 配置已启用 Arc 的 SQL Server,其数据收集规则关联为 SQL DCR Microsoft Defender | 配置已启用 Arc 的 SQL Server 与 SQL DCR Microsoft Defender之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.1.0 |
| 为已启用 Arc 的 SQL Server 配置启用了数据收集规则的 SQL Server,以便为 SQL 用户定义的 DCR Microsoft Defender | 配置已启用 Arc 的 SQL Server 与 SQL 用户定义的 DCR Microsoft Defender之间的关联。 删除此关联将中断对此已启用 Arc 的 SQL Server 的安全漏洞检测。 | DeployIfNotExists、Disabled | 1.3.0 |
| 要启用应用服务的配置Azure Defender | 应用服务的Azure Defender利用云的规模和Azure作为云提供商的可见性来监视常见的 Web 应用攻击。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为要启用Azure SQL数据库配置Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为要启用的开源关系数据库配置Azure Defender | 开源关系数据库的Azure Defender可检测异常活动,这些活动指示访问或利用数据库的异常和潜在有害尝试。 在 https://aka.ms/AzDforOpenSourceDBsDocu 了解有关开放源代码关系数据库Azure Defender功能的详细信息。 重要提示:启用此计划将产生保护开源关系数据库的费用。 若要了解定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Azure Defender以启用资源管理器 | Azure Defender 资源管理器会自动监视组织中的资源管理操作。 Azure Defender检测到有关可疑活动的威胁和警报。 在 https://aka.ms/defender-for-resource-manager 详细了解资源管理器 Azure Defender的功能。 启用此Azure Defender计划会产生费用。 若要了解各区域的定价详细信息,请访问安全中心的定价页:https://aka.ms/pricing-security-center。 | DeployIfNotExists、Disabled | 1.1.0 |
| 为要启用的服务器配置Azure Defender | 服务器Azure Defender为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | DeployIfNotExists、Disabled | 1.0.1 |
| 为要启用的计算机上的 SQL Server 配置Azure Defender | Azure Defender for SQL 提供的功能可用于显示和缓解潜在的数据库漏洞、检测可能指示对 SQL 数据库的威胁的异常活动以及发现和分类敏感数据。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置存储的基本Microsoft Defender(仅限活动监视) | 存储Microsoft Defender为存储帐户提供Azure本机威胁检测。 此策略启用基本功能(活动监视)。 若要获得完整保护,包括恶意软件扫描和敏感数据发现,请使用 aka.ms/DFStoragePolicy。 主要版本更新:2025 年 2 月 5 日之后,新启用不再支持 PerTransaction。 使用它的现有帐户仍受支持。 了解详细信息:aka.ms/DF-Storage/NewPlanMigration。 | DeployIfNotExists、Disabled | 2.0.0 |
| 为 Linux Arc 计算机配置 ChangeTracking 扩展 | 将 Linux Arc 计算机配置为自动安装 ChangeTracking 扩展,以便在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为 Linux 虚拟机规模集配置 ChangeTracking 扩展 | 配置 Linux 虚拟机规模集以自动安装 ChangeTracking 扩展以在Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为 Linux 虚拟机配置 ChangeTracking 扩展 | 配置 Linux 虚拟机以自动安装 ChangeTracking 扩展以在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.2.0 |
| 为 Windows Arc 计算机配置 ChangeTracking 扩展 | 配置 Windows Arc 计算机以自动安装 ChangeTracking 扩展以在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为Windows虚拟机规模集配置 ChangeTracking 扩展 | 配置Windows虚拟机规模集以自动安装 ChangeTracking 扩展以在 Azure 安全中心 中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.1.0 |
| 为 Windows 虚拟机配置 ChangeTracking 扩展 | 配置Windows虚拟机以自动安装 ChangeTracking 扩展以在 Azure 安全中心中启用文件完整性监视(FIM)。 FIM 检查操作系统文件、Windows注册表、应用程序软件、Linux 系统文件等,了解可能表示攻击的更改。 该扩展可以安装在 Azure Monitor 代理支持的虚拟机和位置中。 | DeployIfNotExists、Disabled | 2.2.0 |
| 配置计算机以接收漏洞评估提供程序 | Azure Defender包括对计算机的漏洞扫描,无需额外付费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 启用此策略时,Azure Defender会自动将 Qualys 漏洞评估提供程序部署到尚未安装它的所有受支持计算机。 | DeployIfNotExists、Disabled | 4.0.0 |
| 配置Defender CSPM计划Microsoft | Defender云安全状况管理(CSPM)提供增强的姿态功能和新的智能云安全图,以帮助识别、确定优先级和降低风险。 除了默认在Defender for Cloud中启用的免费基础安全状况功能外,还提供Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置Microsoft启用Defender CSPM | Defender云安全状况管理(CSPM)提供增强的姿态功能和新的智能云安全图,以帮助识别、确定优先级和降低风险。 除了默认在Defender for Cloud中启用的免费基础安全状况功能外,还提供Defender CSPM。 | DeployIfNotExists、Disabled | 1.0.2 |
| 为启用Azure Cosmos DB配置Microsoft Defender | Azure Cosmos DB的Microsoft Defender是一个Azure本机安全层,用于检测尝试利用Azure Cosmos DB帐户中的数据库。 Defender,Azure Cosmos DB会根据Microsoft威胁情报、可疑访问模式以及通过泄露的标识或恶意内部人员对数据库的潜在攻击来检测潜在的 SQL 注入、已知不良参与者。 | DeployIfNotExists、Disabled | 1.0.0 |
| 容器计划的配置Microsoft Defender | 将新功能持续添加到容器计划的Defender,这可能需要用户的显式启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.5.0 |
| 要为容器启用配置Microsoft Defender | 容器Microsoft Defender为Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置Microsoft Defender for Endpoint与Microsoft Defender for Cloud集成设置(WDATP_EXCLUDE_LINUX...) | 在 Microsoft Defender for Cloud(也称为WDATP_EXCLUDE_LINUX_...)中配置Microsoft Defender for Endpoint集成设置,以便为 Linux 服务器启用 MDE 的自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 |
| 在 Microsoft Defender for Cloud(也称为WDATP_UNIFIED_SOLUTION)内配置Microsoft Defender for Endpoint集成设置,以便为 Windows Server 2012R2 和 2016 启用 MDE 统一代理的自动预配。 必须打开 WDATP 设置才能应用此设置。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 在 Microsoft Defender for Cloud(也称为 WDATP)内配置Microsoft Defender for Endpoint集成设置,以Windows通过 MMA 载入 MDE 的下层计算机,并在 Windows Server 2019 上自动预配 MDE,Windows虚拟桌面及更高版本。 必须开启才能使其他设置(WDATP_UNIFIED 等)正常工作。 有关详细信息,请参阅 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 配置密钥保管库计划的Microsoft Defender | 密钥保管库 Microsoft Defender通过检测访问或利用key vault帐户的异常和潜在有害尝试,提供额外的保护和安全智能层。 | DeployIfNotExists、Disabled | 1.1.0 |
| 服务器计划的配置Microsoft Defender | 不断向服务器Defender添加新功能,这可能需要用户的显式启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.0.0 |
| 确保在订阅级别启用服务器子计划(P1 或 P2)的所选Microsoft Defender。 此策略支持通过参数进行动态选择,并强制实施部署(如果尚未配置)。 | DeployIfNotExists、Disabled | 1.1.0 | |
| 在 Synapse 工作区上启用 SQL 的配置Microsoft Defender | 为Azure Synapse工作区上的 SQL 启用Microsoft Defender,以检测异常活动,指示访问或利用 SQL 数据库的异常和潜在有害尝试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 要启用存储的配置Microsoft Defender | 存储Microsoft Defender是一个Azure本机安全智能层,用于检测对存储帐户的潜在威胁。 此策略将启用存储功能的所有Defender;活动监视、恶意软件扫描和敏感数据威胁检测。 若要详细了解存储功能和优势Defender,请访问 aka.ms/DefenderForStorage。 | DeployIfNotExists、Disabled | 1.5.0 |
| 为 AI Services 配置Microsoft Defender威胁防护 | 为 AI Services 的威胁防护不断添加了新功能,这可能需要用户的显式启用。 使用此策略可确保将启用所有新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置 SQL 虚拟机以自动安装Azure Monitor代理 | 在 Windows SQL 虚拟机 上自动部署 Azure Monitor 代理扩展。 了解详细信息:https://aka.ms/AMAOverview。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL 虚拟机以自动安装 SQL Microsoft Defender | 配置 Windows SQL 虚拟机以自动安装 SQL 扩展的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.6.0 |
| 配置 SQL 虚拟机,以便使用 Log Analytics 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组、数据收集规则和Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.9.0 |
| 配置 SQL 虚拟机,使用用户定义的 LA 工作区自动安装 SQL 和 DCR Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在用户定义的Log Analytics工作区所在的同一区域中创建资源组和数据收集规则。 | DeployIfNotExists、Disabled | 1.10.0 |
| 配置 SQL 虚拟机以自动安装 SQL 扩展Microsoft Defender | 配置 Windows SQL 虚拟机以自动安装 SQL 扩展的Microsoft Defender。 SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 | DeployIfNotExists、Disabled | 1.0.0 |
| 配置 SQL Log Analytics 工作区Microsoft Defender | SQL Microsoft Defender从代理收集事件,并使用这些事件来提供安全警报和定制强化任务(建议)。 在计算机所在的同一区域中创建资源组并Log Analytics工作区。 | DeployIfNotExists、Disabled | 1.5.0 |
| 创建和分配内置用户分配的托管标识 | 创建内置用户分配的托管标识,并将其大规模分配给 SQL 虚拟机。 | AuditIfNotExists、DeployIfNotExists、Disabled | 1.8.0 |
| Deploy - 为Azure 安全中心警报配置抑制规则 | 通过对管理组或订阅部署抑制规则来取消Azure 安全中心警报,以减少警报疲劳。 | deployIfNotExists | 1.0.0 |
| Deploy 作为受信任的服务导出到事件中心,用于Microsoft Defender for Cloud数据 | 将事件中心作为受信任的Microsoft Defender for Cloud数据服务启用导出。 此策略会在分配的范围上使用所设定的条件和目标事件中心将“导出到事件中心”部署为受信任的服务配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | DeployIfNotExists、Disabled | 1.0.0 |
| Deploy 导出到事件中心以获取Microsoft Defender for Cloud数据 | 启用导出到Microsoft Defender for Cloud数据的事件中心。 此策略会在分配的作用域上使用所设定的条件和目标事件中心来部署“导出到事件中心”配置。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.2.0 |
| Deploy 导出到Microsoft Defender for Cloud数据的Log Analytics工作区 | 启用导出到Microsoft Defender for Cloud数据的Log Analytics工作区。 此策略将导出部署到Log Analytics工作区配置,并在分配的作用域上使用条件和目标工作区。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 4.1.0 |
| 用于Microsoft Defender for Cloud警报的部署工作流自动化 | 启用Microsoft Defender for Cloud警报自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 用于Microsoft Defender for Cloud建议的部署工作流自动化 | 启用Microsoft Defender for Cloud建议的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 用于Microsoft Defender for Cloud法规合规性的部署工作流自动化 | 实现Microsoft Defender for Cloud法规合规性的自动化。 此策略会在分配的作用域上使用所设定的条件和触发器来部署工作流自动化。 若要在新建的订阅上部署此策略,请打开“合规性”选项卡,选择相关的不合规分配,并创建修正任务。 | deployIfNotExists | 5.0.1 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 订阅上启用Microsoft Defender for Cloud | 标识Microsoft Defender for Cloud不监视的现有订阅,并使用Defender for Cloud的免费功能保护这些订阅。 已监视的订阅将被视为合规。 要注册新创建的订阅,请打开“合规性”选项卡,选择相关的不合规分配,然后创建修正任务。 | deployIfNotExists | 1.0.1 |
| 允许安全中心在订阅上自动预配Log Analytics代理,以使用自定义工作区监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 允许安全中心在订阅上自动预配Log Analytics代理,以使用 ASC 默认工作区监视和收集安全数据。 | DeployIfNotExists、Disabled | 1.0.0 | |
| 为 AI 工作负载启用威胁防护 | Microsoft AI 工作负载的威胁防护提供上下文化、基于证据的安全警报,旨在保护本土的生成 AI 提供支持的应用程序 | DeployIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有所有者权限的 guest 帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有读取权限的 guest 帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对Azure资源具有写入权限的 guest 帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾内策略将可用,例如“应启用Windows攻击防护”。 更多信息请访问 https://aka.ms/gcpol。 | AuditIfNotExists、Disabled | 1.0.3 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Kubernetes 服务应升级到不易受攻击的 Kubernetes 版本 | 将 Kubernetes 服务群集升级到更高 Kubernetes 版本,以抵御当前 Kubernetes 版本中的已知漏洞。 Kubernetes 版本 1.11.9+、1.12.7+、1.13.5+ 和 1.14.0+ 中已修补漏洞 CVE-2019-9946 | Audit、Disabled | 1.0.2 |
| Log Analytics代理应安装在云服务(扩展支持)角色实例上 | 安全中心会从云服务(外延支持)角色实例中收集数据,以监视是否存在安全漏洞和威胁。 | AuditIfNotExists、Disabled | 2.0.0 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists、Disabled | 1.0.2 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | Azure 安全中心作为建议监视可能的实时网络(JIT)访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用 Microsoft Defender CSPM | Defender云安全状况管理(CSPM)提供增强的姿态功能和新的智能云安全图,以帮助识别、确定优先级和降低风险。 除了默认在Defender for Cloud中启用的免费基础安全状况功能外,还提供Defender CSPM。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 适用于 AI 服务的 Microsoft Defender | 审核以查看订阅上是否启用了适用于 AI 服务的 Microsoft Defender。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用 API 的 Microsoft Defender | MICROSOFT DEFENDER API 带来了新的发现、保护、检测和响应覆盖范围,用于监视常见的基于 API 的攻击和安全配置错误。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用Azure Cosmos DB的 Microsoft Defender | Azure Cosmos DB的Microsoft Defender是一个Azure本机安全层,用于检测尝试利用Azure Cosmos DB帐户中的数据库。 Defender,Azure Cosmos DB会根据Microsoft威胁情报、可疑访问模式以及通过泄露的标识或恶意内部人员对数据库的潜在攻击来检测潜在的 SQL 注入、已知不良参与者。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用容器的 Microsoft Defender | 容器Microsoft Defender为Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 sql Microsoft Defender | 为 SQL 启用Defender以保护 Synapse 工作区。 Defender,SQL 监视 Synapse SQL,以检测异常活动,指示访问或利用数据库的异常和潜在有害尝试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用存储Microsoft Defender | 存储Microsoft Defender可检测对存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 存储计划的新Defender包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应在 Kubernetes 服务上使用 Role-Based 访问控制 (RBAC | 若要对用户可以执行的操作进行精细筛选,请使用 Role-Based 访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关的授权策略。 | Audit、Disabled | 1.1.0 |
| 应选择安全中心标准定价层 | 标准定价层为网络和虚拟机启用威胁检测,从而在Azure 安全中心中提供威胁情报、异常检测和行为分析 | Audit、Disabled | 1.1.0 |
| 设置订阅以过渡到备用漏洞评估解决方案 | Microsoft Defender云提供对计算机的漏洞扫描,无需额外付费。 启用此策略将导致Defender for Cloud自动将发现从内置Microsoft Defender漏洞管理解决方案传播到所有受支持的计算机。 | DeployIfNotExists、Disabled | 1.0.0-preview |
| SQL 数据库应已解决漏洞结果 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists、Disabled | 4.1.0 |
| 应为计算机上的 SQL Server 计划启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将 SQL 目标Azure监视代理配置为自动部署。 如果以前已将Microsoft监视代理的自动预配配置为已弃用该组件,则还需要这样做。 了解详细信息:https://aka.ms/SQLAMAMigration | AuditIfNotExists、Disabled | 1.0.0 |
| 计算机上的 SQL Server 应已解决漏洞结果 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含允许或拒绝发到子网的网络流量的访问控制列表(ACL)规则列表。 | AuditIfNotExists、Disabled | 3.0.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果虚拟机安装了来宾配置扩展,但没有系统分配的托管标识,则此策略范围内Azure虚拟机将不符合要求。 有关详细信息,请访问 https://aka.ms/gcpol | AuditIfNotExists、Disabled | 1.0.1 |
后续步骤
本文介绍了Defender for Cloud中的Azure Policy安全策略定义。 若要了解有关计划、策略及其与Defender for Cloud建议的关系的详细信息,请参阅 什么是安全策略、计划和建议?。